Compréhension de l'entité et de son environnement aux fins de l ...

IFAC Board

Norme internationale d’audit (ISA)

Norme ISA 315 (révisée),

Compréhension de l’entité et de

son environnement aux fins de

l’identification et de l’évaluation

des risques d’anomalies

significatives

Prise de position définitive

Mars 2012

Le présent document a été élaboré et approuvé par le Conseil des normes internationales d’audit et

d’assurance (International Auditing and Assurance Standards Board, IAASB). L’IAASB élabore des

normes d’audit et d’assurance ainsi que des indications applicables par l’ensemble des professionnels

comptables selon un processus de normalisation auquel prennent aussi part le Conseil de supervision de

l’intérêt public (Public Interest Oversight Board), qui supervise les activités de l’IAASB, et le Groupe

consultatif (Consultative Advisory Group) de l’IAASB, chargé de faire valoir l’intérêt général dans

l’élaboration des normes et des indications.

L’IAASB a pour objectif de servir l’intérêt public en établissant des normes d’audit et d’assurance et

d’autres normes connexes de haute qualité et en facilitant la convergence des normes d’audit et

d’assurance internationales et nationales, rehaussant ainsi la qualité et la constance de la pratique et

renforçant la confiance du public à l’égard de la profession à l’échelle mondiale.

L’IAASB dispose des structures et des processus nécessaires à l’exercice de ses activités grâce au

concours de l’International Federation of Accountants (IFAC).

Copyright © 2012 International Federation of Accountants (IFAC). Pour obtenir des renseignements sur

les droits d’auteur, les marques déposées et les permissions, veuillez consulter la page 57.

Numéro ISBN : 978-1-60815-118-9.

3

NORME INTERNATIONALE D’AUDIT 315

COMPRÉHENSION DE L’ENTITÉ ET DE SON ENVIRONNEMENT AUX FINS DE L’IDENTIFICATION ET DE L’ÉVALUATION DES RISQUES

D’ANOMALIES SIGNIFICATIVES

(En vigueur pour les audits d’états financiers des périodes closes à compter du 15 décembre 2013.)

SOMMAIRE

Paragraphe

Introduction

Champ d’application de la présente norme ISA.......................................................................... 1

Date d’entrée en vigueur ............................................................................................................. 2

Objectif ....................................................................................................................................... 3

Définitions .................................................................................................................................. 4

Exigences

Procédures d’évaluation des risques et activités connexes ....................................................... 5-10

Niveau requis de compréhension de l’entité et de son environnement, y compris de son

contrôle interne ........................................................................................................................... 11-24

Identification et évaluation des risques d’anomalies significatives ............................................. 25-31

Documentation ............................................................................................................................ 32

Modalités d’application et autres commentaires explicatifs

Procédures d’évaluation des risques et activités connexes ....................................................... A1-A23


contrôle interne ........................................................................................................................... A24-A117

Identification et évaluation des risques d’anomalies significatives ............................................. A118-A143

Documentation ............................................................................................................................ A144-A147

Annexe 1 : Composantes du contrôle interne

Annexe 2 : Circonstances et événements qui peuvent indiquer l’existence de risques d’anomalies

significatives

La Norme internationale d’audit (ISA) 315 (révisée), Compréhension de l’entité et de son environnement aux fins de l’identification et de l’évaluation des risques d’anomalies significatives, doit être lue conjointement avec la norme ISA 200, Objectifs généraux de l’auditeur indépendant et réalisation d’un audit conforme aux Normes internationales d’audit.

COMPRÉHENSION DE L’ENTITÉ ET DE SON ENVIRONNEMENT AUX FINS DE L’IDENTIFICATION ET DE L’ÉVALUATION DES

RISQUES D’ANOMALIES SIGNIFICATIVES

4

Introduction

Champ d’application de la présente norme ISA

1. La présente norme internationale d’audit (ISA) traite de la responsabilité qui incombe à

l’auditeur d’acquérir une compréhension de l’entité et de son environnement, y compris

de son contrôle interne, afin d’identifier et d’évaluer les risques d’anomalies significatives

dans les états financiers.

Date d’entrée en vigueur

2. La présente norme ISA s’applique aux audits d’états financiers des périodes closes à

compter du 15 décembre 2013.

Objectif

3. L’objectif de l’auditeur est d’acquérir une compréhension de l’entité et de son

environnement, y compris de son contrôle interne, afin d’identifier et d’évaluer les risques

d’anomalies significatives, que celles-ci résultent de fraudes ou d’erreurs, aux niveaux

des états financiers et des assertions, et de disposer ainsi d’une base pour concevoir et

mettre en œuvre des réponses à son évaluation des risques d’anomalies significatives.

Définitions

4. Dans les normes ISA, on entend par :

a) «assertions», les affirmations de la direction, explicites ou non, qui sous-tendent les

états financiers et auxquelles se réfère l’auditeur pour examiner les différents types

d’anomalies susceptibles de se produire;

b) «risque d’entreprise», le risque résultant soit de conditions, de circonstances,

d’actions, d’inactions ou d’événements importants qui pourraient compromettre la

capacité de l’entité d’atteindre ses objectifs et de mettre à exécution ses stratégies,

soit de l’établissement d’objectifs et de stratégies inappropriés;

c) «contrôle interne», le processus dont la conception, la mise en place et le maintien

sont assurés par les responsables de la gouvernance, la direction et d’autres

membres du personnel et dont l’objet est de fournir une assurance raisonnable quant

à la réalisation des objectifs de l’entité en ce qui concerne la fiabilité de son

information financière, l’efficacité et l’efficience de ses activités et la conformité aux

textes légaux et réglementaires applicables. Le terme «contrôles» fait référence à

n’importe quels aspects de l’une ou plusieurs des composantes du contrôle interne;

d) «procédures d’évaluation des risques», les procédures d’audit mises en œuvre pour

acquérir une compréhension de l’entité et de son environnement, y compris de son

contrôle interne, dans le but d’identifier et d’évaluer les risques d’anomalies

significatives, que celles-ci résultent de fraudes ou d’erreurs, aux niveaux des états

financiers et des assertions;

e) «risque important», un risque d’anomalie significative identifié et évalué qui, selon le

jugement de l’auditeur, exige une attention particulière dans le cadre de la mission.



5

Exigences

Procédures d’évaluation des risques et activités connexes

5. L’auditeur doit mettre en œuvre des procédures d’évaluation des risques dont les

résultats lui serviront de base pour l’identification et l’évaluation des risques d’anomalies

significatives aux niveaux des états financiers et des assertions. Les procédures

d’évaluation des risques ne fournissent toutefois pas à elles seules des éléments

probants suffisants et appropriés pour fonder l’opinion d’audit. (Réf. : par. A1 à A5)

6. Les procédures d’évaluation des risques doivent notamment comprendre :

a) des demandes d’informations auprès de la direction, des personnes appropriées au

sein de la fonction d’audit interne (lorsque cette fonction existe) et d’autres

personnes au sein de l’entité qui, selon le jugement de l’auditeur, peuvent posséder

des informations susceptibles de l’aider à identifier les risques d’anomalies

significatives résultant de fraudes ou d’erreurs; (Réf. : par. A6 à A13)

b) des procédures analytiques; (Réf. : par. A14 à A17)

c) des observations physiques et des inspections. (Réf. : par. A18)

7. L’auditeur doit se demander si les informations obtenues dans le cadre de son processus

d’acceptation ou de maintien de la relation client sont pertinentes aux fins de

l’identification des risques d’anomalies significatives.

8. Si l’associé responsable de la mission a réalisé d’autres missions auprès de l’entité, il

doit se demander si les informations alors obtenues sont pertinentes aux fins de

l’identification des risques d’anomalies significatives.

9. Dans les cas où l’auditeur a l’intention d’utiliser des informations obtenues grâce à son

expérience passée auprès de l’entité et par suite de la mise en œuvre de procédures

d’audit au cours des audits antérieurs, il doit déterminer s’il est survenu des

changements susceptibles d’affecter la pertinence de ces informations pour l’audit en

cours. (Réf. : par. A19 et A20)

10. L’associé responsable de la mission et les autres membres clés de l’équipe de mission

doivent s’entretenir des possibilités d’anomalies significatives dans les états financiers de

l’entité, ainsi que de l’application du référentiel d’information financière applicable au

regard des faits et circonstances propres à l’entité. L’associé responsable de la mission

doit déterminer les points qui sont à communiquer aux membres de l’équipe n’ayant pas

participé aux entretiens. (Réf. : par. A21 à A23)


contrôle interne



6

L’entité et son environnement

11. L’auditeur doit acquérir une compréhension :

a) des facteurs sectoriels et réglementaires, ainsi que des autres facteurs externes, y

compris le référentiel d’information financière applicable; (Réf. : par. A24 à A29)

b) de la nature de l’entité, y compris :

i) ses activités,

ii) le mode de propriété et la structure de gouvernance de l’entité,

iii) les types d’investissements réalisés et prévus par l’entité, y compris les

investissements dans des entités ad hoc,

iv) son organisation interne et ses modes de financement,

pour pouvoir comprendre les catégories d’opérations, les soldes de comptes et les

informations qu’il s’attend à trouver dans les états financiers; (Réf. : par. A30 à A34)

c) du choix et de l’application des méthodes comptables retenues par l’entité, y compris

les raisons ayant motivé des changements. L’auditeur doit évaluer si les méthodes

comptables de l’entité sont appropriées compte tenu de ses activités et si elles sont

cohérentes avec le référentiel d’information financière applicable et les méthodes

comptables en usage dans le secteur d’activité; (Réf. : par. A35)

d) des objectifs et des stratégies de l’entité ainsi que des risques d’entreprise connexes

pouvant donner lieu à des anomalies significatives dans les états financiers; (Réf. :

par. A36 à A42)

e) de la mesure et de l’analyse de la performance financière de l’entité. (Réf. : par. A43

à A48)

Contrôle interne de l’entité

12. L’auditeur doit acquérir une compréhension des aspects du contrôle interne pertinents

pour l’audit. Bien qu’il y ait des chances que la plupart des contrôles pertinents pour

l’audit concernent l’information financière, ce ne sont pas tous les contrôles liés à

l’information financière qui sont pertinents pour l’audit. L’auditeur exerce son jugement

professionnel pour déterminer si un contrôle, seul ou en association avec d’autres, est

pertinent pour l’audit. (Réf. : par. A49 à A72)

Nature et étendue de la compréhension des contrôles pertinents

13. Lors de l’acquisition d’une compréhension des contrôles pertinents pour l’audit, l’auditeur

doit évaluer la conception de ces contrôles et déterminer s’ils ont été mis en place, en

associant d’autres procédures à ses demandes d’informations auprès du personnel de

l’entité. (Réf. : par. A73 à A75)



7

Composantes du contrôle interne

Environnement de contrôle

14. L’auditeur doit acquérir une compréhension de l’environnement de contrôle. Pour ce

faire, il doit notamment évaluer :

a) si la direction, sous la surveillance des responsables de la gouvernance, a développé

et entretient une culture d’honnêteté et de comportement éthique;

b) si les points forts des éléments de l’environnement de contrôle constituent

collectivement une base appropriée sur laquelle peuvent s’appuyer les autres

composantes du contrôle interne, et si l’efficacité de ces autres composantes n’est

pas réduite par des déficiences dans l’environnement de contrôle. (Réf. : par. A76 à

A86)

Processus d’évaluation des risques par l’entité

15. L’auditeur doit déterminer si l’entité dispose d’un processus pour :

a) identifier les risques d’entreprise à prendre en considération au regard des objectifs

de l’information financière;

b) estimer l’importance des risques;

c) évaluer leur probabilité de réalisation;

d) décider des mesures à prendre en réponse à ces risques. (Réf. : par. A87)

16. Lorsque l’entité a établi un tel processus (ci-après appelé «processus d’évaluation des

risques par l’entité»), l’auditeur doit acquérir une compréhension du processus et de ses

résultats. Si l’auditeur identifie des risques d’anomalies significatives que la direction n’a

pas identifiés, il doit s’interroger sur l’existence d’un risque sous-jacent qui, selon lui,

aurait normalement dû être identifié dans le cadre du processus d’évaluation des risques

par l’entité. Le cas échéant, l’auditeur doit comprendre pourquoi le risque n’a pu être

identifié, et apprécier si le processus est bien adapté à la situation de l’entité ou

déterminer s’il existe une déficience importante du contrôle interne en ce qui concerne le

processus d’évaluation des risques par l’entité.

17. Lorsque l’entité n’a pas établi un tel processus ou qu’elle dispose d’un processus ad hoc,

l’auditeur doit s’entretenir avec la direction pour savoir si les risques d’entreprise à

prendre en considération au regard des objectifs de l’information financière ont été

identifiés et quelles mesures ont été prises en réponse à ces risques. L’auditeur doit

apprécier si l’absence de processus documenté d’évaluation des risques est appropriée

dans les circonstances ou représente une déficience importante du contrôle interne.

(Réf. : par. A88)



8

Système d’information (y compris les processus opérationnels connexes) pertinent pour

l’information financière, et communication

18. L’auditeur doit acquérir une compréhension du système d’information (y compris les

processus opérationnels connexes) pertinent pour l’information financière, en ce qui

concerne notamment :

a) les catégories d’opérations conclues dans le cadre des activités de l’entité qui sont

importantes par rapport aux états financiers;

b) les procédures suivies, tant dans les systèmes informatisés que dans les systèmes

manuels, pour le déclenchement, l’enregistrement, le traitement, la correction au

besoin, le report au grand livre général et la communication de ces opérations dans

les états financiers;

c) les documents comptables, les informations justificatives et les comptes spécifiques

contenus dans les états financiers qui concernent ces opérations et sont utilisés pour

leur déclenchement, leur enregistrement, leur traitement et leur communication, ce

qui comprend la correction des informations erronées et la manière dont les

informations sont reportées au grand livre général. Les documents peuvent être

tenus manuellement ou électroniquement;

d) la façon dont le système d’information saisit les événements et les situations, autres

que les opérations, qui ont de l’importance pour les états financiers;

e) le processus d’information financière utilisé pour préparer les états financiers de

l’entité, y compris les estimations comptables importantes et les informations

importantes à fournir;

f) les contrôles afférents aux écritures de journal, y compris les écritures non courantes

servant à constater les opérations ou ajustements non récurrents ou inhabituels.

(Réf. : par. A89 à A93)

19. L’auditeur doit acquérir une compréhension de la façon dont l’entité communique

l’information concernant les rôles et les responsabilités en matière d’information

financière et les éléments importants liés à l’information financière, y compris : (Réf. : par.

A94 et A95)

a) les communications entre la direction et les responsables de la gouvernance;

b) les communications externes, par exemple avec les autorités de réglementation.

Activités de contrôle pertinentes pour l’audit

20. L’auditeur doit acquérir une compréhension des activités de contrôle pertinentes pour

l’audit, soit celles qu’il juge nécessaire de comprendre pour évaluer les risques

d’anomalies significatives au niveau des assertions et concevoir des procédures d’audit

complémentaires en réponse à son évaluation des risques. L’audit n’exige pas une

compréhension de toutes les activités de contrôle relatives à chaque catégorie

d’opérations ou solde de compte importants, à chaque information importante à fournir



9

dans les états financiers, ou à chacune des assertions y afférentes. (Réf. : par. A96 à

A102)

21. Pour comprendre les activités de contrôle de l’entité, l’auditeur doit acquérir une

compréhension de la façon dont l’entité a répondu aux risques liés à l’informatique.

(Réf. : par. A103 à A105)

Suivi des contrôles

22. L’auditeur doit acquérir une compréhension des principaux moyens utilisés par l’entité

pour faire le suivi du contrôle interne portant sur l’information financière, notamment ceux

qui ont trait aux activités de contrôle pertinentes pour l’audit, ainsi qu’une compréhension

de la façon dont procède l’entité pour apporter des mesures correctives aux déficiences

de ses contrôles. (Réf. : par. A106 à A108)

23. Si l’entité a une fonction d’audit interne1, l’auditeur doit acquérir une compréhension de la

nature des responsabilités de la fonction d’audit interne, de son statut au sein de

l’organisation et des activités qu’elle a mises ou qu’elle mettra en œuvre. (Réf. : par.

A109 à A116)

24. L’auditeur doit acquérir une compréhension des sources de l’information utilisée dans le

cadre des activités de suivi de l’entité, et des raisons pour lesquelles la direction juge que

cette information est suffisamment fiable. (Réf. : par. A117)

Identification et évaluation des risques d’anomalies significatives

25. L’auditeur doit identifier et évaluer les risques d’anomalies significatives :

a) au niveau des états financiers, (Réf. : par. A118 à A121)

b) au niveau des assertions pour les catégories d’opérations, les soldes de comptes et

les informations à fournir dans les états financiers, (Réf. : par. A122 à A126)

afin de disposer d’une base pour la conception et la mise en œuvre des procédures

d’audit complémentaires.

26. À cette fin, l’auditeur doit :

a) identifier les risques tout au long du processus d’acquisition d’une compréhension de

l’entité et de son environnement, y compris des contrôles pertinents relatifs aux

risques, en prenant en considération les catégories d’opérations, les soldes de

comptes et les informations à fournir dans les états financiers; (Réf. : par. A127 et

A128)

b) évaluer les risques identifiés et déterminer s’ils se répercutent de manière

généralisée sur les états financiers pris dans leur ensemble et peuvent affecter de

nombreuses assertions;

1 Le paragraphe 14 de la norme ISA 610, Utilisation des travaux des auditeurs internes, définit ce qu’on entend par «

fonction d’audit interne comme » dans les normes ISA.



10

c) faire un lien entre les risques identifiés et les problèmes pouvant survenir au niveau

des assertions, en tenant compte des contrôles pertinents qu’il a l’intention de tester;

(Réf. : par. A129 à A131)

d) examiner la probabilité de l’existence d’une anomalie, y compris la possibilité

d’anomalies multiples, et déterminer si l’anomalie potentielle est d’une ampleur telle

qu’elle pourrait constituer une anomalie significative.

Risques exigeant une attention particulière dans le cadre de la mission

27. Dans le cadre de l’évaluation des risques décrite au paragraphe 25, l’auditeur doit

déterminer si l’un ou l’autre des risques identifiés constitue, selon son jugement, un

risque important. En exerçant son jugement, l’auditeur doit faire abstraction des effets

des contrôles qu’il a identifiés relativement au risque.

28. Lorsqu’il exerce son jugement pour déterminer quels sont les risques importants,

l’auditeur doit à tout le moins examiner :

a) si le risque constitue un risque de fraude;

b) si le risque est lié à des faits nouveaux importants de nature économique, comptable

ou autre, et s’il nécessite par conséquent une attention particulière;

c) la complexité des opérations;

d) si le risque est associé à des opérations importantes avec des parties liées;

e) le degré de subjectivité dans l’évaluation des informations financières concernant le

risque, en particulier dans les cas où l’évaluation comporte une large fourchette

d’incertitude de mesure;

f) si le risque est associé à des opérations importantes qui ont été conclues hors du

cadre normal des activités de l’entité, ou qui semblent par ailleurs inhabituelles.

(Réf. : par. A132 à A136)

29. Si l’auditeur a déterminé qu’il existe un risque important, il doit acquérir une

compréhension des contrôles de l’entité, y compris des activités de contrôle, pertinents

par rapport à ce risque. (Réf. : par. A137 à A139)

Risques pour lesquels les procédures de corroboration seules ne peuvent fournir des éléments

probants suffisants et appropriés

30. Pour certains risques, il se peut que l’auditeur juge qu’il n’est pas possible ou faisable en

pratique d’obtenir des éléments probants suffisants et appropriés au moyen de

procédures de corroboration seulement. De tels risques peuvent être liés à

l’enregistrement inexact ou erroné de catégories courantes et importantes d’opérations

ou de soldes de comptes, dont les caractéristiques permettent souvent un traitement

hautement automatisé nécessitant peu ou pas d’intervention manuelle. Les contrôles de

l’entité à l’égard de ces risques étant alors pertinents pour l’audit, l’auditeur doit en

acquérir une compréhension. (Réf. : par. A140 à A142)



11

Révision de l’évaluation des risques

31. L’évaluation par l’auditeur des risques d’anomalies significatives au niveau des

assertions peut évoluer au cours de l’audit à mesure qu’il obtient des éléments probants

additionnels. Dans les circonstances où l’auditeur obtient des éléments probants par

suite de l’application de procédures d’audit complémentaires, ou lorsqu’il obtient de

nouvelles informations, et que ces éléments probants ou ces informations sont

incohérents avec les éléments probants sur lesquels il s’est fondé pour procéder à son

évaluation initiale, il doit réviser cette évaluation et modifier en conséquence les

procédures d’audit complémentaires prévues. (Réf. : par. A143)

Documentation

32. L’auditeur doit consigner dans la documentation de l’audit2 :

a) les entretiens entre les membres de l’équipe de mission menés conformément aux

exigences du paragraphe 10, ainsi que les décisions importantes prises à l’issue de

ces entretiens;

b) les éléments clés de la compréhension acquise de chacun des aspects de l’entité et

de son environnement énumérés au paragraphe 11, et de chacune des composantes

du contrôle interne énumérées aux paragraphes 14 à 24, les sources d’information

ayant permis d’acquérir cette compréhension, et les procédures d’évaluation des

risques mises en œuvre;

c) les risques d’anomalies significatives identifiés et leur évaluation au niveau des états

financiers pris dans leur ensemble et au niveau des assertions, selon les exigences

du paragraphe 25;

d) les risques identifiés et les contrôles y afférents dont l’auditeur a acquis une

compréhension conformément aux exigences des paragraphes 27 à 30. (Réf. : par.

A144 à A147)

***

Modalités d’application et autres commentaires explicatifs

Procédures d’évaluation des risques et activités connexes (Réf. : par. 5)

A1. L’acquisition d’une compréhension de l’entité et de son environnement, y compris de son

contrôle interne (ci-après appelée «compréhension de l’entité»), est un processus

dynamique et continu de collecte, de mise à jour et d’analyse d’informations tout au long

de l’audit. Cette compréhension de l’entité sert de cadre de référence à l’auditeur lorsqu’il

planifie l’audit et exerce son jugement professionnel tout au long de la mission, par

exemple pour :

• évaluer les risques d’anomalies significatives dans les états financiers;

• déterminer un seuil de signification, conformément à la norme ISA 3203;

2 Norme ISA 230, Documentation de l’audit, paragraphes 8 à 11 et A6.



12

• apprécier le caractère approprié du choix et de l’application des méthodes

comptables et le caractère adéquat des informations fournies dans les états

financiers;

• identifier les questions nécessitant une attention particulière dans le cadre de la

mission, par exemple les opérations entre parties liées ou le bien-fondé de

l’utilisation par la direction de l’hypothèse de la continuité de l’exploitation, ou

déterminer la finalité économique des opérations;

• définir des résultats attendus qui seront utilisés lors de la mise en œuvre des

procédures analytiques;

• répondre à l’évaluation des risques d’anomalies significatives, notamment concevoir

et mettre en œuvre des procédures d’audit complémentaires en vue d’obtenir des

éléments probants suffisants et appropriés;

• évaluer le caractère suffisant et approprié des éléments probants recueillis, par

exemple le caractère approprié des hypothèses retenues par la direction et des

déclarations orales et écrites faites par celle-ci.

A2. Les informations obtenues par la mise en œuvre de procédures d’évaluation des risques

et d’activités connexes peuvent être utilisées par l’auditeur comme éléments probants à

l’appui de ses évaluations des risques d’anomalies significatives. L’auditeur peut aussi,

par la même occasion, obtenir des éléments probants sur des catégories d’opérations,

des soldes de comptes ou des informations à fournir dans les états financiers et sur les

assertions connexes, ainsi que sur l’efficacité du fonctionnement des contrôles, même si

ces procédures n’ont pas été spécifiquement conçues en tant que procédures de

corroboration ou tests des contrôles. L’auditeur peut également décider de mettre en

œuvre des procédures de corroboration ou des tests des contrôles en même temps que

des procédures d’évaluation des risques parce qu’il juge efficient de le faire.

A3. L’auditeur exerce son jugement professionnel pour déterminer le niveau de

compréhension requis. Le premier souci de l’auditeur est de déterminer si la

compréhension qu’il a acquise est suffisante pour lui permettre d’atteindre l’objectif défini

dans la présente norme ISA. Le niveau de compréhension générale que l’auditeur est

tenu d’acquérir pour réaliser la mission est moins élevé que celui dont la direction a

besoin pour gérer l’entité.

A4. Les risques à évaluer comprennent tant ceux résultant d’erreurs que ceux résultant de

fraudes, qui sont les uns et les autres couverts dans la présente norme ISA. Toutefois,

l’importance de la fraude est telle que des exigences et des indications supplémentaires

sont fournies dans la norme ISA 240 au sujet des procédures d’évaluation des risques et

3 Norme ISA 320, Caractère significatif dans la planification et la réalisation d’un audit.



13

des activités connexes permettant d’obtenir des informations utiles pour identifier les

risques d’anomalies significatives résultant de fraudes4.

A5. L’auditeur est tenu de mettre en œuvre l’ensemble des procédures d’évaluation des

risques décrites au paragraphe 6 dans le cadre de l’acquisition du niveau de

compréhension requis (voir les paragraphes 11 à 24), mais il n’est pas tenu de mettre

toutes ces procédures en œuvre pour chacun des aspects de cette compréhension.

D’autres procédures peuvent être mises en œuvre lorsque les informations qu’elles

permettent d’obtenir sont susceptibles d’être utiles pour l’identification des risques

d’anomalies significatives. Voici des exemples de telles procédures :

• examen des informations provenant de sources externes, notamment les revues de

commerce ou d’économie, les rapports rédigés par des analystes, des banques ou

des agences de notation, ou les publications réglementaires ou financières;

• demandes d’informations auprès du conseiller juridique externe de l’entité ou des

experts en évaluation auxquels l’entité a fait appel.

Demandes d’informations auprès de la direction, de la fonction d’audit interne et d’autres

personnes au sein de l’entité (Réf. : alinéa 6 a))

A6. Une bonne partie des informations que l’auditeur obtient au moyen de demandes

d’informations lui viennent de la direction et des responsables de l’information financière.

L’auditeur peut aussi obtenir des informations en adressant des demandes d’informations

à la fonction d’audit interne, lorsque l’entité en a une, et à d’autres personnes au sein de

l’entité.

A7. L’auditeur peut aussi obtenir des informations, ou une perspective différente lors de

l’identification des risques d’anomalies significatives, en adressant des demandes

d’informations à d’autres personnes au sein de l’entité, dont des employés de différents

niveaux hiérarchiques. Par exemple :

• les demandes d’informations auprès des responsables de la gouvernance peuvent

aider l’auditeur à comprendre l’environnement dans lequel les états financiers sont

établis; la norme ISA 2605 souligne l’importance d’une communication bilatérale

efficace qui facilite l’obtention par l’auditeur d’informations pertinentes à cet égard

auprès des responsables de la gouvernance;

• les demandes d’informations auprès des employés intervenant dans le

déclenchement, le traitement ou l’enregistrement d’opérations complexes ou

inhabituelles peuvent aider l’auditeur à évaluer le caractère approprié du choix et de

l’application de certaines méthodes comptables;

• les demandes d’informations auprès du conseiller juridique interne peuvent éclairer

l’auditeur sur des questions telles que les procès, la conformité aux textes légaux et

4 Norme ISA 240, Responsabilités de l’auditeur concernant les fraudes lors d’un audit d’états financiers, paragraphes 12 à

24.

5 Norme ISA 260, Communication avec les responsables de la gouvernance, alinéa 4 b).



14

réglementaires, la connaissance de fraudes avérées ou suspectées concernant

l’entité, les garanties, les engagements après-vente, les accords (tels que ceux

portant sur des coentreprises) conclus avec des partenaires commerciaux, ainsi que

l’interprétation des clauses d’un contrat;

• les demandes d’informations auprès du personnel marketing ou commercial peuvent

renseigner l’auditeur sur les changements dans les stratégies marketing de l’entité,

l’évolution des ventes ou les contrats conclus avec la clientèle;

• les demandes d’informations auprès de la fonction de gestion des risques (ou des

personnes qui endossent ce rôle) peuvent renseigner l’auditeur sur les risques

opérationnels et les risques découlant de la réglementation qui peuvent avoir une

incidence sur l’information financière;

• les demandes d’informations auprès du personnel des systèmes d’information

peuvent renseigner l’auditeur sur les modifications apportées aux systèmes, les

défaillances des systèmes ou des contrôles, ou sur d’autres risques liés aux

systèmes d’information.

A8. Comme l’acquisition d’une compréhension de l’entité et de son environnement est un

processus dynamique et continu, les demandes d’informations de l’auditeur peuvent

avoir lieu tout au long de la mission d’audit.

Demandes d’information à l’égard de la fonction d’audit interne

A9. Si l’entité a une fonction d’audit interne, les demandes d’informations adressées aux

personnes appropriées au sein de la fonction peuvent fournir des informations utiles

à l’auditeur pour l’acquisition d’une compréhension de l’entité et de son

environnement, et pour l’identification et l’évaluation des risques d’anomalies

significatives aux niveaux des états financiers et des assertions. Lors de la réalisation

de ses travaux, la fonction d’audit interne a probablement obtenu des informations

sur les activités et les risques d’entreprise de l’entité, et peut avoir fait des

constatations à partir de ses travaux, par exemple avoir identifié des déficiences

dans le contrôle ou bien des risques, et ces constatations peuvent être d’une grande

utilité pour l’auditeur dans sa compréhension de l’entité, son évaluation des risques

et d’autres aspects de l’audit. L’auditeur procède donc à ses demandes

d’informations, qu’il compte ou non s’appuyer sur les travaux de la fonction d’audit

interne pour modifier la nature ou le calendrier des procédures d’audit à mettre en

œuvre ou pour en réduire l’étendue6. Les demandes d’informations particulièrement

pertinentes peuvent porter sur des questions soulevées par la fonction d’audit interne

auprès des responsables de la gouvernance et sur les résultats de son propre

processus d’évaluation des risques.

A10. Si les réponses aux demandes d’informations de l’auditeur semblent indiquer

l’existence de constatations susceptibles d’être pertinentes par rapport à l’information

financière de l’entité et à l’audit, l’auditeur peut considérer comme approprié de lire

les rapports d’audit interne qui en traitent. Les rapports de la fonction d’audit interne

6 La norme ISA 610 contient les exigences applicables.



15

qui peuvent être pertinents comprennent, par exemple, ses documents de stratégie

et de planification et ses rapports préparés à l’intention de la direction ou des

responsables de la gouvernance leur décrivant les constatations découlant des

travaux d’audit interne.

A11. En outre, conformément à la norme ISA 2407, si la fonction d’audit interne fournit des

informations à l’auditeur concernant des fraudes avérées, suspectées ou alléguées,

l’auditeur en tient compte lors de son identification des risques d’anomalies

significatives résultant de fraudes.

A12. Les personnes appropriées au sein de la fonction d’audit interne auxquelles sont

adressées les demandes d’informations sont celles qui, selon le jugement de

l’auditeur, possèdent les connaissances, l’expérience et l’autorité voulues, par

exemple le directeur de l’audit interne ou, selon les circonstances, d’autres membres

du personnel au sein de la fonction. L’auditeur peut également considérer comme

approprié de tenir des rencontres périodiques avec ces personnes.

Considérations propres aux entités du secteur public (Réf. : alinéa 6 a))

A13. Les auditeurs des entités du secteur public ont souvent des responsabilités

supplémentaires en ce qui a trait au contrôle interne et à la conformité aux textes

légaux et réglementaires applicables. Des demandes d’informations auprès des

personnes appropriées qui travaillent au sein de la fonction d’audit interne peuvent

aider l’auditeur à identifier les risques de non-conformité significative aux textes

légaux et réglementaires applicables et le risque de déficiences dans le contrôle

interne sur l’information financière.

Procédures analytiques (Réf. : alinéa 6 b))

A14. Il se peut que les procédures analytiques mises en œuvre comme procédures

d’évaluation des risques révèlent des aspects de l’entité dont l’auditeur n’avait pas

connaissance et aident celui-ci à évaluer les risques d’anomalies significatives de façon à

ce qu’il dispose d’une base pour concevoir et mettre en œuvre des réponses à son

évaluation des risques. Les procédures analytiques mises en œuvre comme procédures

d’évaluation des risques peuvent porter à la fois sur des informations financières et sur

des informations non financières, par exemple sur la corrélation entre le chiffre d’affaires,

d’une part, et la superficie de l’espace de vente ou le volume des ventes, d’autre part.

A15. Les procédures analytiques peuvent faciliter l’identification des opérations ou des

événements inhabituels, ainsi que des montants, des ratios et des tendances qui

pourraient faire apparaître des éléments ayant une incidence sur l’audit. Les relations

inhabituelles ou inattendues relevées par l’auditeur peuvent l’aider à identifier les risques

d’anomalies significatives, en particulier ceux résultant de fraudes.

A16. Cependant, lorsque les procédures analytiques reposent sur des données agrégées à un

niveau élevé (ce qui peut être le cas lorsqu’elles sont mises en œuvre comme

procédures d’évaluation des risques), leurs résultats ne fournissent qu’une première

7 Norme ISA 240, paragraphe 19.



16

indication générale sur l’existence ou non d’une anomalie significative. C’est pourquoi la

prise en considération des autres informations réunies lors de l’identification des risques

d’anomalies significatives conjointement avec les résultats des procédures analytiques

peut aider l’auditeur à comprendre et à évaluer les résultats des procédures analytiques.

Considérations propres aux petites entités

A17. Il peut arriver que de petites entités n’aient pas d’informations financières intermédiaires

ou mensuelles pouvant servir aux fins des procédures analytiques. En pareil cas, même

si l’auditeur peut être en mesure de mettre en œuvre des procédures analytiques limitées

pour la planification de l’audit ou d’obtenir certaines informations au moyen de demandes

d’informations, il peut être nécessaire qu’il prévoie de ne mettre en œuvre des

procédures analytiques pour identifier et évaluer les risques d’anomalies significatives

que lorsqu’une version préliminaire des états financiers de l’entité sera disponible.

Observations physiques et inspections (Réf. : alinéa 6 c))

A18. Des observations physiques et des inspections peuvent confirmer les informations

recueillies auprès de la direction ou d’autres personnes, et fournir également des

informations sur l’entité et son environnement. Ces observations physiques et

inspections peuvent notamment porter sur :

• les activités de l’entité;

• des documents (tels que les plans d’affaires et les stratégies), les livres comptables

et les manuels de contrôle interne;

• les rapports produits par la direction (par exemple, les rapports de gestion trimestriels

et les états financiers intermédiaires) et par les responsables de la gouvernance (par

exemple, les procès-verbaux des réunions du conseil d’administration);

• les établissements et les installations de production de l’entité.

Informations obtenues au cours de périodes antérieures (Réf. : par. 9)

A19. L’expérience passée de l’auditeur auprès de l’entité et les procédures d’audit mises en

œuvre au cours des audits antérieurs peuvent fournir à l’auditeur des informations sur

des points tels que :

• l’existence d’anomalies dans le passé et le fait qu’elles aient été corrigées ou non en

temps opportun;

• la nature de l’entité et de son environnement, ainsi que son contrôle interne (y

compris les déficiences du contrôle interne);

• les changements importants qui ont pu survenir dans l’entité ou ses activités depuis

la période financière précédente, ce qui peut aider l’auditeur dans l’acquisition d’une

compréhension de l’entité suffisante pour lui permettre d’identifier et d’évaluer les

risques d’anomalies significatives.



17

A20. L’auditeur est tenu de déterminer si les informations obtenues au cours des périodes

antérieures sont toujours pertinentes lorsqu’il compte les utiliser dans le cadre de l’audit

en cours. Cela s’explique du fait que des changements survenus dans l’environnement

de contrôle peuvent, par exemple, affecter la pertinence des informations obtenues au

cours de l’exercice précédent. Pour déterminer s’il y a eu des changements susceptibles

d’affecter la pertinence de ces informations, l’auditeur peut procéder à des demandes

d’informations et mettre en œuvre d’autres procédures d’audit appropriées, par exemple

soumettre les systèmes pertinents à des tests de cheminement.

Entretiens entre les membres de l’équipe de mission (Réf. : par. 10)

A21. Les entretiens entre les membres de l’équipe de mission sur les possibilités d’anomalies

significatives dans les états financiers de l’entité :

• constituent, pour les membres les plus expérimentés de l’équipe, y compris l’associé

responsable de la mission, des occasions de partager les informations dont ils

disposent déjà en raison de leur connaissance de l’entité;

• permettent aux membres de l’équipe d’échanger des informations sur les risques

d’entreprise auxquels est exposée l’entité et de chercher à prévoir où et comment les

états financiers sont susceptibles de comporter des anomalies significatives résultant

de fraudes ou d’erreurs;

• aident les membres de l’équipe à acquérir une meilleure compréhension des risques

d’anomalies significatives dans les états financiers pour les aspects particuliers de

l’audit qui leur ont été confiés, et à comprendre comment les résultats des

procédures d’audit qu’ils mettent en œuvre peuvent avoir une incidence sur d’autres

aspects de l’audit, notamment les décisions concernant la nature, le calendrier et

l’étendue des procédures d’audit complémentaires;

• fournissent une base de référence à partir de laquelle les membres de l’équipe

communiquent et partagent les nouvelles informations obtenues tout au long de

l’audit et pouvant avoir des conséquences sur l’évaluation des risques d’anomalies

significatives ou sur les procédures d’audit mises en œuvre pour répondre à ces

risques.

La norme ISA 240 contient d’autres exigences et indications concernant les entretiens

entre les membres de l’équipe sur les risques de fraude8.

A22. Il n’est pas toujours nécessaire ou commode de faire participer tous les membres de

l’équipe de mission en même temps aux entretiens (par exemple, dans le cas de l’audit

d’une entité à établissements multiples). Il n’est pas non plus nécessaire que tous les

membres de l’équipe soient informés de toutes les décisions prises au cours des

entretiens. L’associé responsable de la mission peut s’entretenir de certains points avec

les membres clés de l’équipe, y compris, s’il le juge approprié, les membres possédant

des compétences ou des connaissances particulières et les responsables des audits des




18

composantes du groupe, et déléguer à d’autres les entretiens avec les autres membres

de l’équipe, compte tenu de l’étendue de la communication jugée nécessaire. Un plan de

communication, approuvé par l’associé responsable de la mission, peut s’avérer utile.


A23. Beaucoup de petites missions d’audit sont réalisées entièrement par l’associé

responsable de la mission (qui peut être un professionnel exerçant à titre individuel).

Dans ce cas, c’est à l’associé responsable de la mission, ayant lui-même planifié l’audit,

qu’il appartient de déterminer si les états financiers de l’entité sont susceptibles de

comporter des anomalies significatives résultant de fraudes ou d’erreurs.


contrôle interne

L’entité et son environnement

Facteurs sectoriels (Réf. : alinéa 11 a))

Facteurs sectoriels

A24. Les facteurs sectoriels pertinents comprennent les conditions du secteur, dont la

concurrence, les relations avec les fournisseurs et les clients, ainsi que les

développements technologiques. Voici des exemples d’éléments dont l’auditeur peut

tenir compte :

• le marché et la concurrence, y compris la demande, la capacité de production et la

concurrence par les prix;

• les activités cycliques ou saisonnières;

• la technologie des produits de l’entité;

• l’approvisionnement énergétique et le coût de l’énergie.

A25. Le secteur dans lequel l’entité exerce ses activités peut générer des risques spécifiques

d’anomalies significatives en raison de la nature même des activités ou du niveau de

réglementation. Par exemple, certains contrats à long terme peuvent nécessiter des

estimations importantes des produits et des charges qui engendrent des risques

d’anomalies significatives. Dans ce cas, il importe que l’équipe de mission compte des

membres possédant des connaissances et une expérience pertinentes et suffisantes9.

Facteurs réglementaires

A26. Les facteurs réglementaires pertinents comprennent l’environnement réglementaire, qui

englobe entre autres le référentiel d’information financière applicable ainsi que

l’environnement juridique et politique. Voici des exemples d’éléments que l’auditeur peut

prendre en considération :

9 Norme ISA 220, Contrôle qualité d’un audit d’états financiers, paragraphe 14.



19

• les principes comptables et les pratiques propres au secteur d’activité;

• le cadre réglementaire dans le cas d’un secteur réglementé;

• les textes légaux et réglementaires ayant une incidence importante sur le

fonctionnement de l’entité, y compris les activités de contrôle auxquelles l’entité est

directement soumise;

• la fiscalité (impôts sur le résultat et autres impôts et taxes);

• les politiques des pouvoirs publics ayant actuellement une incidence sur les activités

de l’entité, notamment la politique monétaire, y compris le contrôle des changes, la

politique fiscale, les incitations financières (par exemple, les programmes d’aide

publique) ainsi que la politique et les barrières douanières;

• les exigences environnementales ayant une incidence sur le secteur d’activité et les

affaires de l’entité.

A27. La norme ISA 250 contient des exigences spécifiques relatives au cadre légal et

réglementaire applicable à l’entité et à son secteur d’activité10

.

Considérations propres aux entités du secteur public

A28. Dans le cas des audits d’entités du secteur public, il se peut que les activités de l’entité

soient affectées par des textes légaux ou réglementaires ou d’autres textes émanant

d’une autorité. Il est essentiel de prendre ces éléments en considération lors de

l’acquisition d’une compréhension de l’entité et de son environnement.

Autres facteurs externes

A29. Parmi les exemples d’autres facteurs externes qui ont une incidence sur l’entité et que

l’auditeur peut prendre en considération, il y a la conjoncture économique dans son

ensemble, les taux d’intérêt et les possibilités de financement, ainsi que l’inflation ou une

réévaluation de la monnaie.

Nature de l’entité (Réf. : alinéa 11 b))

A30. La compréhension de la nature de l’entité permet à l’auditeur de comprendre :

• si l’entité est dotée d’une structure complexe, avec par exemple des filiales ou

d’autres composantes dans de multiples endroits. Les structures complexes

soulèvent souvent des questions susceptibles de donner lieu à des risques

d’anomalies significatives, notamment celle de savoir si les écarts d’acquisition

(goodwill), les coentreprises, les participations ou les entités ad hoc sont

comptabilisés correctement;

• le mode de propriété de l’entité, ainsi que les relations entre les propriétaires et

d’autres personnes ou entités. Cette compréhension est utile pour déterminer si les

opérations avec des parties liées ont été dûment identifiées et comptabilisées. La

10

Norme ISA 250, Prise en compte des textes légaux et réglementaires dans un audit d’états financiers, paragraphe 12.



20

norme ISA 55011

définit des exigences et fournit des indications sur les éléments à

prendre en compte par l’auditeur en ce qui concerne les parties liées.

A31. Voici des exemples d’éléments dont l’auditeur peut tenir compte dans l’acquisition d’une

compréhension de la nature de l’entité :

• Activités de l’entreprise :

o nature des sources de revenus, des produits ou services, et des marchés, y

compris le recours au commerce électronique, notamment les ventes et les

activités de marketing sur Internet;

o conduite des activités (par exemple, phases et méthodes de production ou

activités exposées à des risques environnementaux);

o alliances, coentreprises et sous-traitances ou externalisations;

o dispersion géographique et segmentation sectorielle;

o emplacement des installations de production, des entrepôts et des bureaux,

emplacement et quantités des stocks;

o principaux clients et fournisseurs importants de biens et de services, conditions

d’emploi (y compris l’existence de conventions collectives, de régimes de

pensions et d’autres avantages postérieurs à l’emploi, de plans d’options sur

actions ou primes de rendement, ainsi que la réglementation des pouvoirs

publics en matière de travail);

o activités et frais de recherche et développement;

o opérations avec des parties liées.

• Investissements et activités d’investissement :

o acquisitions ou cessions envisagées ou réalisées récemment;

o achats et cessions de valeurs mobilières et de prêts;

o dépenses en immobilisations;

o participations dans des entités non consolidées, y compris dans des sociétés de

personnes, des coentreprises et des entités ad hoc.

• Financement et activités de financement :

o principales filiales et entités associées, y compris les structures consolidées et

non consolidées;

o structure de la dette et termes et conditions y afférents, y compris les opérations

de financement hors bilan et les opérations de crédit-bail;

11

Norme ISA 550, Parties liées.



21

o propriétaires réels (nationaux, étrangers, réputation et expérience en affaires) et

parties liées;

o utilisation d’instruments financiers dérivés.

• Information financière :

o principes comptables et pratiques sectorielles spécifiques, y compris les

catégories importantes propres au secteur d’activité (par exemple, prêts et

placements dans le cas des banques, ou recherche et développement dans le

cas des sociétés pharmaceutiques);

o pratiques en matière de constatation des produits;

o comptabilisation des justes valeurs;

o actifs, passifs et opérations libellés en devises;

o comptabilisation des opérations inhabituelles ou complexes, y compris celles

conclues dans des domaines controversés ou nouveaux (par exemple,

comptabilisation des rémunérations fondées sur des actions).

A32. Des changements importants survenus dans l’entité par rapport aux périodes antérieures

peuvent engendrer, ou modifier, certains risques d’anomalies significatives.

Nature des entités ad hoc

A33. Une entité ad hoc (parfois désignée par l’expression «structure d’accueil») est une entité

qui est généralement créée dans un but circonscrit et bien défini, par exemple effectuer

une location, une titrisation d’actifs financiers ou des activités de recherche et

développement. Elle peut prendre la forme d’une société de capitaux, d’une fiducie,

d’une société de personnes ou d’une entité sans personnalité morale. L’entité pour le

compte de laquelle l’entité ad hoc a été créée peut souvent lui transférer des actifs (dans

le cadre d’une opération de décomptabilisation impliquant des actifs financiers, par

exemple), obtenir le droit d’en utiliser les actifs ou lui fournir des services, tandis que

d’autres parties peuvent assurer le financement de l’entité ad hoc. Comme le précise la

norme ISA 550, dans certaines circonstances, il peut arriver qu’une entité ad hoc

constitue une partie liée à l’entité12

.

A34. Les référentiels d’information financière prévoient souvent des conditions détaillées qui

sont réputées équivaloir au contrôle, ou les circonstances où une entité ad hoc doit être

prise en compte dans la consolidation. L’interprétation des exigences de ces référentiels

nécessite souvent de connaître le détail des ententes pertinentes concernant l’entité ad

hoc.

12

Norme ISA 550, paragraphe A7.



22

Choix et application des méthodes comptables de l’entité (Réf. : alinéa 11 c))

A35. La compréhension du choix et de l’application des méthodes comptables de l’entité

passe notamment par la prise de connaissance :

• des méthodes utilisées par l’entité pour comptabiliser les opérations importantes et

inhabituelles;

• de l’incidence des méthodes comptables importantes dans des domaines

controversés ou nouveaux pour lesquels il n’existe pas de règles faisant autorité ou

consensus;

• des changements dans les méthodes comptables de l’entité;

• des normes et des textes légaux et réglementaires qui sont nouveaux pour l’entité,

ainsi que du moment et des modalités de leur application par l’entité.

Objectifs et stratégies, et risques d’entreprise connexes (Réf. : alinéa 11 d))

A36. L’entité exerce ses activités dans un contexte caractérisé par des facteurs sectoriels et

réglementaires et par d’autres facteurs internes et externes. En réponse à ces facteurs,

la direction de l’entité ou les responsables de la gouvernance définissent des objectifs,

qui constituent les plans d’ensemble de l’entité. Les stratégies sont les moyens par

lesquels la direction compte atteindre ses objectifs. Les stratégies et les objectifs de

l’entité peuvent évoluer avec le temps.

A37. Le risque d’entreprise est plus général que le risque d’anomalies significatives dans les

états financiers, bien qu’il englobe celui-ci. Le risque d’entreprise peut être attribuable au

changement ou à la complexité des activités. Le fait de ne pas reconnaître un besoin de

changement peut aussi entraîner un risque d’entreprise. Le risque d’entreprise peut être

lié, par exemple :

• au développement de nouveaux produits ou services qui peuvent échouer;

• à un marché qui, malgré le développement réussi d’un produit ou service, est

insuffisant pour ce produit ou service;

• à des défauts d’un produit ou service susceptibles d’engendrer des passifs ou un

risque de perte de réputation.

A38. Une compréhension des risques d’entreprise auxquels est exposée l’entité accroît la

probabilité d’identification des risques d’anomalies significatives, car la plupart des

risques d’entreprise finissent par avoir des conséquences financières et, partant, une

incidence sur les états financiers. L’auditeur n’est toutefois pas tenu d’identifier ou

d’évaluer tous les risques d’entreprise, car ceux-ci ne génèrent pas tous des risques

d’anomalies significatives.

A39. Voici des exemples d’éléments que l’auditeur peut prendre en considération pour

acquérir une compréhension des objectifs et des stratégies de l’entité, ainsi que des

risques d’entreprise connexes qui peuvent donner lieu à un risque d’anomalies

significatives dans les états financiers :



23

• évolution du secteur d’activité (par exemple, un risque d’entreprise potentiel pourrait

découler du fait que l’entité ne dispose pas du personnel ou de l’expertise nécessaire

pour faire face aux changements sectoriels);

• nouveaux produits et services (par exemple, un risque d’entreprise potentiel pourrait

être lié à l’accroissement de la responsabilité civile du fait des produits);

• expansion de l’entreprise (par exemple, un risque d’entreprise potentiel pourrait

résulter du fait que la demande n’a pas été estimée avec précision);

• nouvelles exigences en matière de comptabilité (par exemple, un risque d’entreprise

potentiel pourrait être lié à une application incomplète ou inadéquate des nouvelles

règles, ou à une augmentation des coûts);

• exigences réglementaires (par exemple, un risque d’entreprise potentiel pourrait être

lié à un risque accru de poursuites judiciaires);

• besoins actuels et futurs en matière de financement (par exemple, un risque

d’entreprise potentiel pourrait être lié à une perte de financement en raison de

l’incapacité de l’entité d’honorer ses engagements);

• utilisation de l’informatique (par exemple, un risque d’entreprise potentiel pourrait être

lié à une incompatibilité des systèmes et des processus);

• les conséquences de la mise en œuvre d’une stratégie, notamment celles se

traduisant par de nouvelles exigences en matière de comptabilité (par exemple, un

risque d’entreprise potentiel pourrait être lié à une mise en œuvre incomplète ou

inadéquate).

A40. Un risque d’entreprise peut avoir des conséquences immédiates sur le risque

d’anomalies significatives pour des catégories d’opérations, soldes de comptes et

informations à fournir, tant au niveau des assertions qu’au niveau des états financiers.

Par exemple, le risque d’entreprise découlant d’une réduction du portefeuille clients peut

accroître le risque d’anomalies significatives associé à l’évaluation des créances.

Cependant, le même risque peut avoir des conséquences à plus long terme,

particulièrement lorsqu’il se conjugue avec une économie en récession, et l’auditeur en

tient compte lorsqu’il évalue le caractère approprié de l’hypothèse de la continuité de

l’exploitation. La question de savoir si un risque d’entreprise peut donner lieu à un risque

d’anomalies significatives est donc examinée à la lumière des circonstances propres à

l’entité. L’Annexe 2 fournit des exemples de situations et d’événements qui peuvent

indiquer l’existence de risques d’anomalies significatives.

A41. De manière générale, la direction identifie les risques d’entreprise et définit des moyens

pour y faire face. Ce processus d’évaluation des risques fait partie du contrôle interne et

il en est question aux paragraphes 15, A87 et A88.


A42. Dans le cas d’audits d’entités du secteur public, il se peut que les «objectifs de la

direction» soient influencés par des préoccupations liées à une obligation de rendre des



24

comptes au public et que certains de ces objectifs découlent de textes légaux ou

réglementaires ou d’autres textes émanant d’une autorité.

Mesure et analyse de la performance financière de l’entité (Réf. : alinéa 11 e))

A43. La direction et d’autres personnes évaluent et examinent les aspects qu’elles considèrent

comme importants. Les indicateurs de performance, qu’ils soient d’origine externe ou

interne, créent sur l’entité des pressions qui peuvent avoir pour effet d’inciter la direction

à prendre des mesures pour améliorer la performance ou à présenter des états financiers

trompeurs. En conséquence, une compréhension des indicateurs de performance de

l’entité est utile à l’auditeur lorsqu’il évalue si des pressions à l’atteinte de cibles de

performance peuvent amener la direction à entreprendre des actions qui augmentent les

risques d’anomalies significatives, notamment ceux résultant de fraudes (voir la norme

ISA 240 qui définit des exigences et fournit des indications sur les risques de fraudes).

A44. La mesure et l’analyse de la performance financière se distinguent du suivi des contrôles

(composante du contrôle interne dont il est question aux paragraphes A106 à A117), bien

que leurs objectifs puissent se recouper :

• la mesure et l’analyse de la performance visent à déterminer si la performance de

l’entité répond aux objectifs définis par la direction (ou des tiers);

• le suivi des contrôles vise spécifiquement à vérifier l’efficacité du fonctionnement du

contrôle interne.

Dans certains cas, toutefois, les indicateurs de performance fournissent également à la

direction des informations qui lui permettent de déceler des déficiences dans le contrôle

interne.

A45. Voici des exemples d’informations d’origine interne qui sont utilisées par la direction pour

la mesure et l’analyse de la performance financière de l’entité et que l’auditeur peut

prendre en considération :

• les indicateurs clés de performance (de nature financière et non financière) ainsi que

les ratios, tendances et statistiques d’exploitation de première importance;

• le comparatif des performances financières par période;

• les budgets, les prévisions, les analyses des écarts budget / réel, les informations

sectorielles, les rapports de performance des divisions, services ou autres niveaux

de fonctionnement;

• les évaluations de la performance du personnel et les politiques de rémunération au

rendement;

• les comparaisons entre la performance de l’entité et celle de concurrents.

A46. Des tiers peuvent également mesurer et analyser la performance financière de l’entité.

Par exemple, des documents d’origine externe comme les rapports d’analystes et les

rapports d’agences de notation peuvent fournir des informations utiles à l’auditeur. De

tels rapports peuvent souvent être obtenus de l’entité auditée.



25

A47. Les indicateurs de performance d’origine interne peuvent faire ressortir des résultats ou

tendances inattendus qui obligent la direction à en déterminer les causes et à prendre

des mesures correctives (y compris, dans certains cas, la détection et la correction

d’anomalies en temps opportun). Les indicateurs de performance peuvent par ailleurs

signaler à l’auditeur l’existence de risques d’anomalies dans les informations

correspondantes des états financiers. Par exemple, ils peuvent montrer que l’entité

connaît une croissance ou une rentabilité inhabituellement rapide par rapport à d’autres

entités du même secteur d’activité. De telles informations, notamment lorsqu’elles sont

associées à d’autres facteurs tels que des primes fondées sur la performance ou une

rémunération au rendement, peuvent indiquer un risque de parti pris de la part de la

direction dans l’établissement des états financiers.


A48. Souvent, les petites entités n’ont pas de processus pour mesurer et analyser la

performance financière. Des demandes d’informations auprès de la direction peuvent

révéler que celle-ci se fie à certains indicateurs clés pour évaluer la performance

financière et prendre les mesures appropriées. Lorsque les réponses aux demandes

d’informations indiquent l’absence de mesure et d’analyse de la performance, le risque

que des anomalies ne soient ni détectées ni corrigées peut être plus grand.

Contrôle interne de l’entité (Réf. : par. 12)

A49. Une compréhension du contrôle interne aide l’auditeur, d’une part, à identifier les types

d’anomalies possibles et les facteurs qui influent sur les risques d’anomalies

significatives et, d’autre part, à déterminer la nature, le calendrier et l’étendue des

procédures d’audit complémentaires.

A50. Les modalités d’application qui suivent portent sur le contrôle interne et sont présentées

en quatre sections, soit :

• nature générale et caractéristiques du contrôle interne;

• contrôles pertinents pour l’audit;

• nature et étendue de la compréhension des contrôles pertinents;

• composantes du contrôle interne.

Nature générale et caractéristiques du contrôle interne

Objectif du contrôle interne

A51. Le contrôle interne est conçu, mis en place et maintenu pour faire face aux risques

d’entreprise identifiés qui menacent la réalisation de l’un ou l’autre des objectifs de

l’entité en ce qui concerne :

• la fiabilité de son information financière;

• l’efficacité et l’efficience de son fonctionnement;

• le respect des textes légaux et réglementaires applicables.



26

La manière dont le contrôle interne est conçu, mis en place et maintenu varie selon la

taille et la complexité de l’entité.


A52. Il se peut que les petites entités aient recours à des moyens moins structurés et à des

processus et procédures plus simples pour réaliser leurs objectifs.

Limites du contrôle interne

A53. Le contrôle interne, aussi efficace soit-il, ne peut fournir à une entité qu’une assurance

raisonnable quant à la réalisation de ses objectifs en matière d’information financière. La

probabilité de leur réalisation est affectée par les limites inhérentes au contrôle interne.

Ces limites tiennent entre autres à la possibilité que des erreurs de jugement surviennent

dans la prise de décisions et que des défaillances se produisent dans le contrôle interne

en raison, par exemple, d’erreurs humaines. Ainsi, il peut y avoir une faille dans la

conception ou dans la modification d’un contrôle. De même, le fonctionnement d’un

contrôle peut ne pas être efficace, comme dans le cas où des informations produites aux

fins du contrôle interne (par exemple, un relevé des écarts) ne sont pas utilisées

efficacement parce que la personne chargée de les examiner n’en comprend pas le but

ou néglige de prendre les mesures qui s’imposent.

A54. De plus, les contrôles peuvent être neutralisés par la collusion entre plusieurs personnes

ou en raison du contournement du contrôle interne par la direction. Par exemple, la

direction peut conclure avec certains clients des accords parallèles dont les conditions

générales sont différentes de celles des contrats de vente courants de l’entité, ce qui

peut aboutir à une comptabilisation inadéquate des produits. Il est également possible de

contourner ou de désactiver les contrôles de validation d’un programme informatique

conçus pour repérer et signaler les opérations qui excèdent des limites de crédit

prédéterminées.

A55. Par ailleurs, lors de la conception et de la mise en place des contrôles, la direction peut

être amenée à porter des jugements sur la nature et l’étendue des contrôles qu’elle

choisit de mettre en place et sur la nature et l’étendue des risques qu’elle décide

d’assumer.


A56. Les petites entités ont souvent un personnel réduit, ce qui peut limiter la mesure dans

laquelle la séparation des tâches est faisable en pratique. Toutefois, dans une petite

entité gérée par le propriétaire-dirigeant, il arrive que celui-ci soit à même d’exercer une

surveillance plus efficace que dans le cas d’une plus grande entité, ce qui peut

compenser pour les possibilités généralement plus limitées de séparation des tâches.

A57. En revanche, il peut être plus facile pour le propriétaire-dirigeant de contourner les

contrôles, en raison de la nature moins structurée du système de contrôle interne.

L’auditeur tient compte de cette situation lors de l’identification des risques d’anomalies

significatives résultant de fraudes.



27

Décomposition du contrôle interne en composantes

A58. La décomposition du contrôle interne en cinq composantes pour les besoins des normes

ISA fournit à l’auditeur un cadre utile pour déterminer comment les différents aspects du

contrôle interne d’une entité peuvent avoir une incidence sur l’audit. Ces composantes

sont :

a) l’environnement de contrôle;

b) le processus d’évaluation des risques par l’entité;

c) le système d’information (y compris les processus opérationnels connexes) pertinent

pour l’information financière, et la communication;

d) les activités de contrôle;

e) le suivi des contrôles.

Cette décomposition ne reflète pas nécessairement la manière dont une entité conçoit,

met en place et maintient son contrôle interne, ni la façon dont elle peut en classer les

différentes composantes. Pour décrire les divers aspects du contrôle interne, et leur

incidence sur l’audit, l’auditeur peut employer une terminologie ou un cadre différents de

ceux utilisés dans la présente norme ISA, à condition cependant de tenir compte de

toutes les composantes du contrôle interne qui y sont décrites.

A59. Les modalités d’application concernant les cinq composantes du contrôle interne dans le

contexte d’un audit d’états financiers sont exposées aux paragraphes A76 à A117 ci-

après. L’Annexe 1 fournit de plus amples explications sur ces composantes du contrôle

interne.

Caractéristiques des éléments manuels et automatisés du contrôle interne pertinents pour

l’évaluation des risques par l’auditeur

A60. Le système de contrôle interne d’une entité comprend des éléments manuels et, souvent,

des éléments automatisés. Les caractéristiques de ces éléments manuels ou

automatisés sont pertinentes pour l’évaluation des risques par l’auditeur et pour la

détermination des procédures d’audit complémentaires à mettre en œuvre en réponse à

cette évaluation.

A61. Le recours à des éléments manuels ou automatisés dans le contrôle interne influe

également sur la manière dont les opérations sont déclenchées, enregistrées, traitées et

communiquées :

• les contrôles dans un système manuel peuvent comprendre des procédures telles

que des approbations et des revues d’opérations, ainsi que des rapprochements et le

suivi des éléments de rapprochement. Une entité peut cependant avoir recours à des

procédures automatisées pour le déclenchement, l’enregistrement, le traitement et la

communication des opérations, auquel cas des documents sur support électronique

remplacent les documents sur support papier;



28

• les contrôles dans les systèmes informatiques consistent en une combinaison de

contrôles automatisés (par exemple, des contrôles intégrés dans les programmes

informatiques) et de contrôles manuels. Par ailleurs, il se peut que les contrôles

manuels soient indépendants des systèmes informatiques, qu’ils reposent sur des

informations générées par ces systèmes, ou qu’ils se limitent à un suivi de l’efficacité

du fonctionnement des systèmes et des contrôles automatisés, ainsi qu’au traitement

des écarts. Lorsque les systèmes informatiques sont utilisés pour le déclenchement,

l’enregistrement, le traitement ou la communication des opérations, ou d’autres

données financières devant être intégrées dans les états financiers, les systèmes et

programmes peuvent comprendre des contrôles relatifs aux assertions

correspondantes pour les comptes significatifs ou peuvent s’avérer essentiels au

fonctionnement efficace des contrôles manuels qui dépendent des systèmes

informatiques.

La proportion d’éléments automatisés par rapport aux éléments manuels dans le contrôle

interne d’une entité varie selon la nature et la complexité des systèmes informatiques

utilisés par l’entité.

A62. En général, les systèmes informatiques présentent des avantages pour le contrôle

interne en permettant à l’entité :

• d’appliquer systématiquement des règles prédéfinies et d’exécuter des calculs

complexes en traitant d’importants volumes d’opérations ou de données;

• d’accroître la rapidité, la disponibilité et l’exactitude des informations;

• de faciliter une analyse plus poussée des informations;

• d’accroître sa capacité de faire le suivi des résultats de ses activités, ainsi que de ses

politiques et procédures;

• de réduire le risque de contournement des contrôles;

• d’accroître la capacité de réaliser une séparation efficace des tâches en mettant en

place des contrôles de sécurité dans les applications, les bases de données et les

systèmes d’exploitation.

A63. Les systèmes informatiques présentent par contre certains risques pour le contrôle

interne d’une entité, dont les suivants :

• confiance dans des systèmes ou des programmes alors qu’ils ne traitent pas

correctement les données et/ou qu’ils traitent des données inexactes;

• accès non autorisé aux données pouvant aboutir à des destructions ou modifications

inappropriées de données, y compris l’enregistrement d’opérations non autorisées ou

inexistantes ou l’enregistrement incorrect d’opérations. L’accès de multiples

utilisateurs à une base de données commune peut poser des risques particuliers;



29

• possibilité que le personnel du service informatique obtienne des privilèges d’accès

supérieurs à ceux qui sont nécessaires pour l’exercice de ses fonctions, et que la

séparation des tâches se trouve ainsi compromise;

• modifications non autorisées des données dans les fichiers maîtres;

• modifications non autorisées des systèmes ou programmes;

• non-réalisation des modifications nécessaires des systèmes ou programmes;

• interventions manuelles inappropriées;

• perte possible de données ou incapacité d’accéder aux données requises.

A64. Les éléments manuels du contrôle interne peuvent s’avérer plus appropriés dans les cas

qui font appel au jugement et à l’appréciation, tels que les suivants :

• opérations importantes, inhabituelles ou non récurrentes;

• circonstances où il est difficile de définir, d’anticiper ou de prévoir des erreurs;

• nouvelles situations qui exigent, en matière de contrôle, une réponse que ne permet

pas un contrôle automatisé existant;

• suivi de l’efficacité des contrôles automatisés.

A65. Les éléments manuels du contrôle interne peuvent se révéler moins fiables que les

éléments automatisés, étant donné qu’il est plus facile d’y passer outre, d’en faire

abstraction ou de les contourner, et qu’ils sont aussi plus susceptibles de faire l’objet de

simples erreurs. On ne peut donc pas présumer de la mise en œuvre uniforme et

constante d’un élément manuel. Les éléments manuels du contrôle peuvent être moins

appropriés dans les cas suivants :

• volume important d’opérations ou opérations récurrentes, ou situations dans

lesquelles les erreurs susceptibles d’être anticipées ou prévues peuvent être

prévenues, ou détectées et corrigées, à l’aide de paramètres de contrôle

automatisés;

• activités de contrôle où les modes particuliers d’exécution du contrôle peuvent être

adéquatement conçus et automatisés.

A66. L’étendue et la nature des risques associés au contrôle interne varient selon la nature et

les caractéristiques du système d’information de l’entité. L’entité répond aux risques

découlant du recours à l’informatique ou à des éléments manuels dans le contrôle interne

par la mise en place de contrôles efficaces compte tenu des caractéristiques du système

d’information de l’entité.

Contrôles pertinents pour l’audit

A67. Il existe un lien direct entre les objectifs d’une entité et les contrôles qu’elle met en place

pour obtenir une assurance raisonnable de leur réalisation. Les objectifs de l’entité, et par

conséquent ses contrôles, concernent l’information financière, l’exploitation et la



30

conformité. Cependant, ces objectifs et contrôles ne sont pas tous pertinents pour

l’auditeur dans le cadre de son évaluation des risques.

A68. En exerçant son jugement professionnel pour déterminer si un contrôle, pris

individuellement ou en association avec d’autres, est pertinent pour l’audit, l’auditeur tient

compte de facteurs tels que :

• le caractère significatif;

• l’importance du risque correspondant;

• la taille de l’entité;

• la nature des activités de l’entité, y compris sa structure organisationnelle et les

caractéristiques de son mode de propriété;

• la diversité et la complexité des activités de l’entité;

• les obligations légales et réglementaires de l’entité;

• les circonstances et la composante concernée du contrôle interne;

• la nature et la complexité des systèmes qui font partie du contrôle interne de l’entité,

y compris le recours à des sociétés de services;

• si, et comment, le contrôle en question permet, seul ou en association avec d’autres,

de prévenir, ou de détecter et corriger, une anomalie significative.

A69. Les contrôles portant sur l’exhaustivité et l’exactitude de l’information produite par l’entité

peuvent être pertinents pour l’audit si l’auditeur a l’intention d’utiliser l’information dans la

conception et la mise en œuvre de procédures d’audit complémentaires. Les contrôles

liés aux objectifs en matière d’exploitation et de conformité peuvent aussi être pertinents

pour l’audit s’ils ont trait à des données que l’auditeur évalue ou utilise dans le cadre de

ses procédures d’audit.

A70. Le contrôle interne mis en place pour protéger les actifs en empêchant les acquisitions,

les utilisations ou les cessions non autorisées peut comprendre des contrôles liés à la

fois aux objectifs en matière d’information financière et d’exploitation. Lorsqu’il prend ces

contrôles en considération, l’auditeur ne tient généralement compte que de ceux qui sont

pertinents pour la fiabilité de l’information financière.

A71. Les entités mettent généralement en place des contrôles qui sont liés à des objectifs non

pertinents pour l’audit, et qui ne sont donc pas à prendre en considération. Ainsi, une

entité peut s’appuyer sur un système sophistiqué de contrôles automatisés pour

optimiser son efficience et son efficacité opérationnelles (par exemple, le système de

contrôles automatisés qu’une compagnie aérienne utilise pour s’assurer du respect de

ses horaires de vols), mais de tels contrôles ne sont généralement pas pertinents pour

l’audit. De plus, même si le contrôle interne s’applique à l’entité dans son ensemble et,

partant, à chacune de ses unités d’exploitation ou chacun de ses processus

opérationnels, une compréhension du contrôle interne relatif à chacune des unités



31

d’exploitation et à chacun des processus opérationnels de l’entité peut s’avérer non

pertinente pour l’audit.


A72. Les auditeurs d’entités du secteur public ont souvent des responsabilités

supplémentaires en ce qui a trait au contrôle interne, par exemple celle de produire un

rapport sur le respect d’un code de bonnes pratiques prescrit. Ils peuvent aussi avoir

pour responsabilité de produire un rapport sur la conformité aux textes légaux et

réglementaires ou à d’autres textes émanant d’une autorité. Leur examen du contrôle

interne peut donc être plus étendu et plus détaillé.

Nature et étendue de la compréhension des contrôles pertinents (Réf. : par. 13)

A73. L’évaluation de la conception d’un contrôle implique de considérer si le contrôle, seul ou

en association avec d’autres, est efficace pour prévenir, ou détecter et corriger, les

anomalies significatives. La mise en place d’un contrôle suppose que le contrôle existe et

que l’entité l’utilise. Mais comme il ne sert pas à grand-chose de juger de la mise en

place d’un contrôle inefficace, il faut d’abord examiner la conception du contrôle. Un

contrôle mal conçu peut constituer une déficience importante du contrôle interne.

A74. Les procédures d’évaluation des risques appliquées pour obtenir des éléments probants

concernant la conception et la mise en place des contrôles pertinents peuvent

comprendre :

• des demandes d’informations auprès du personnel de l’entité;

• l’observation de l’application de contrôles particuliers;

• l’inspection de documents et de rapports;

• le suivi du cheminement d’opérations à travers le système d’information pertinent

pour l’information financière.

Les demandes d’informations ne sont toutefois pas suffisantes, à elles seules, pour

évaluer la conception et la mise en place des contrôles pertinents.

A75. L’acquisition d’une compréhension des contrôles de l’entité n’est pas suffisante pour

tester l’efficacité de leur fonctionnement, sauf lorsqu’une certaine automatisation assure

le fonctionnement systématique des contrôles. Par exemple, l’obtention d’éléments

probants attestant la mise en place d’un contrôle manuel à un moment précis ne fournit

pas d’éléments probants quant à son fonctionnement efficace à d’autres moments au

cours de la période visée par l’audit. Cependant, en raison de l’uniformité inhérente au

traitement informatique (voir le paragraphe A55), l’application de procédures d’audit pour

déterminer si un contrôle automatisé a été mis en place peut éventuellement servir de

test de l’efficacité du fonctionnement de ce contrôle, sous réserve des évaluations et des

tests, par l’auditeur, des contrôles tels que ceux qui portent sur les modifications des



32

programmes. Les tests de l’efficacité du fonctionnement des contrôles sont décrits plus

en détail dans la norme ISA 33013

.

Composantes du contrôle interne — Environnement de contrôle (Réf. : par. 14)

A76. L’environnement de contrôle englobe les fonctions de gouvernance et de direction, ainsi

que l’attitude, le degré de sensibilisation et les actions des responsables de la

gouvernance et de la direction à l’égard du contrôle interne et de son importance dans

l’entité. L’environnement de contrôle donne le ton à l’organisation, et contribue à en

conscientiser les membres sur l’importance du contrôle.

A77. Lors de l’acquisition d’une compréhension de l’environnement de contrôle, il peut être

pertinent de prendre en considération les éléments suivants :

a) transmission et respect de valeurs d’intégrité et d’éthique — il s’agit d’éléments

essentiels qui influent sur l’efficacité de la conception, de la gestion et du suivi des

contrôles;

b) importance attachée à la compétence — par exemple la prise en considération par la

direction des niveaux de compétence requis pour des postes particuliers et la

manière dont ces niveaux correspondent aux aptitudes et aux connaissances

exigées;

c) participation des responsables de la gouvernance — les caractéristiques des

responsables de la gouvernance, notamment :

• leur indépendance par rapport à la direction,

• leur expérience et leur envergure,

• l’étendue de leur engagement et de l’information qui leur est communiquée, ainsi

que leur surveillance étroite des activités,

• le caractère approprié de leurs actions, y compris la mesure dans laquelle des

questions difficiles sont soulevées et suivies avec la direction, et leur interaction

avec les auditeurs internes et externes;

d) philosophie et style de gestion de la direction — les caractéristiques de la direction,

notamment :

• son approche dans la prise et la gestion des risques d’entreprise,

• son attitude et ses décisions à l’égard de l’information financière,

• son attitude à l’égard du traitement de l’information, ainsi que de la fonction

comptable et de son personnel;

e) structure organisationnelle — le cadre dans lequel sont planifiées, exécutées,

contrôlées et analysées les activités de l’entité visant la réalisation de ses objectifs;

13

Norme ISA 330, Réponses de l’auditeur à l’évaluation des risques.



33

f) délégation de pouvoirs et de responsabilités — par exemple la façon dont sont

délégués les pouvoirs et les responsabilités concernant les activités opérationnelles

et la manière dont sont établis les liens hiérarchiques et les niveaux décisionnels;

g) politiques et pratiques en matière de ressources humaines — les politiques et

pratiques concernant, par exemple, le recrutement, l’accueil, la formation,

l’évaluation, l’aide aux employés, l’avancement, la rémunération et les mesures

correctives.

Éléments probants concernant les éléments de l’environnement de contrôle

A78. Des éléments probants pertinents peuvent être obtenus en associant les demandes

d’informations à d’autres procédures d’évaluation des risques, par exemple en

corroborant des informations reçues par l’observation ou par l’inspection de documents.

Ainsi, l’auditeur peut, lors d’entretiens menés avec la direction et le personnel, acquérir

une compréhension de la façon dont la direction communique au personnel sa vision de

la conduite des affaires et du comportement éthique. Il peut ensuite déterminer si des

contrôles pertinents ont été mis en place en évaluant, par exemple, si la direction a établi

un code de bonne conduite écrit et si elle agit de manière à en favoriser le respect.

A79. L’auditeur peut également tenir compte des mesures prises par la direction à l’égard

des constatations et des recommandations de la fonction d’audit interne concernant

des déficiences du contrôle interne qui ont été relevées et sont pertinentes pour

l’audit, et notamment se demander si et comment ces mesures ont été mises en

œuvre, et si elles ont été par la suite évaluées par la fonction d’audit interne.

Incidence de l’environnement de contrôle sur l’évaluation des risques d’anomalies significatives

A80. Certains éléments de l’environnement de contrôle de l’entité ont un effet généralisé sur

l’évaluation des risques d’anomalies significatives. Par exemple, le degré de

sensibilisation de l’entité à l’importance du contrôle est grandement influencée par les

responsables de la gouvernance, parce que l’un de leurs rôles consiste à faire

contrepoids aux pressions qui peuvent être exercées sur la direction, en rapport avec

l’information financière, en raison des exigences du marché ou des modes de

rémunération. L’efficacité de la conception de l’environnement de contrôle, pour ce qui

concerne la participation des responsables de la gouvernance, est donc influencée par

des facteurs tels que :

• leur indépendance par rapport à la direction et leur capacité d’évaluer les actions de

la direction;

• leur compréhension des opérations commerciales de l’entité;

• la mesure dans laquelle ils évaluent si les états financiers sont préparés

conformément au référentiel d’information financière applicable.

A81. Un conseil d’administration actif et indépendant peut influencer la philosophie et le style

de gestion de la haute direction. D’autres éléments peuvent toutefois avoir un effet plus

limité. Par exemple, même si des politiques et pratiques en matière de ressources

humaines visant le recrutement de personnes compétentes en finance, en comptabilité et



34

en informatique peuvent permettre de réduire le risque d’erreurs dans le traitement de

l’information financière, elles ne permettent pas nécessairement d’atténuer un fort parti

pris de la direction en faveur d’une surévaluation des bénéfices.

A82. L’existence d’un environnement de contrôle satisfaisant peut constituer un facteur positif

dans l’évaluation par l’auditeur des risques d’anomalies significatives. Toutefois, même si

un bon environnement de contrôle peut contribuer à réduire le risque de fraude, il ne

s’agit pas d’une arme de dissuasion absolue. Par contre, l’existence de déficiences dans

l’environnement de contrôle peut réduire l’efficacité des contrôles, en particulier en ce qui

concerne la fraude. Par exemple, le fait que la direction n’affecte pas suffisamment de

ressources à la protection de l’entité contre les risques de sécurité informatique peut

avoir une incidence négative sur le contrôle interne, en permettant que des modifications

non autorisées soient apportées aux programmes informatiques ou aux données, ou que

des opérations non autorisées soient traitées. Comme il est précisé dans la norme ISA

330, l’environnement de contrôle influe aussi sur la nature, le calendrier et l’étendue des

procédures d’audit complémentaires14

.

A83. L’environnement de contrôle ne peut à lui seul prévenir, ou détecter et corriger, une

anomalie significative; il peut toutefois influencer l’évaluation que fait l’auditeur de

l’efficacité d’autres aspects du contrôle interne (par exemple, le suivi des contrôles et la

mise en œuvre d’activités de contrôle particulières) et, par conséquent, son évaluation

des risques d’anomalies significatives.


A84. L’environnement de contrôle des petites entités est généralement différent de celui des

grandes entités. Par exemple, il se peut qu’il n’y ait pas de membre indépendant ou

externe parmi les responsables de la gouvernance, et même que le rôle de gouvernance

soit assumé directement par le propriétaire-dirigeant de l’entité lorsqu’il en est l’unique

propriétaire. La nature de l’environnement de contrôle peut également influer sur

l’importance des autres contrôles ou sur leur absence. Par exemple, la participation

active du propriétaire-dirigeant peut atténuer certains risques découlant d’un manque de

séparation des tâches dans une petite entité; cela peut toutefois accroître d’autres

risques, comme le risque de contournement des contrôles.

A85. Dans les petites entités, il se peut en outre que les éléments probants concernant les

éléments de l’environnement de contrôle ne soient pas disponibles sous forme de

documents, en particulier là où la communication entre la direction et le personnel peut

être informelle, mais néanmoins efficace. Par exemple, il se peut que les petites entités

ne disposent pas d’un code de bonne conduite écrit, mais qu’elles développent plutôt une

culture qui souligne l’importance de l’intégrité et du comportement éthique par la

communication orale et l’exemple donné par la direction.

A86. L’attitude, le degré de sensibilisation et les actions de la direction ou du propriétaire-

dirigeant sont donc d’une importance particulière pour la compréhension de

l’environnement de contrôle d’une petite entité.

14

Norme ISA 330, paragraphes A2 et A3.



35

Composantes du contrôle interne — Processus d’évaluation des risques par l’entité (Réf. : par.

15)

A87. Le processus d’évaluation des risques suivi par l’entité constitue la base à partir de

laquelle la direction détermine les risques à gérer. Lorsque ce processus est approprié

par rapport aux circonstances, y compris la nature, la taille et la complexité de l’entité, il

aide l’auditeur à identifier les risques d’anomalies significatives. La question de savoir si

le processus d’évaluation des risques suivi par l’entité est approprié par rapport aux

circonstances relève du jugement.

Considérations propres aux petites entités (Réf. : par. 17)

A88. Il y a peu de chances qu’une petite entité ait un processus bien implanté d’évaluation des

risques. Il est alors probable que la direction identifie les risques en participant

directement et personnellement à la gestion de l’entreprise. Quelles que soient les

circonstances, toutefois, les demandes d’informations au sujet des risques identifiés et

de la façon dont la direction y fait face demeurent nécessaires.

Composantes du contrôle interne — Système d’information (y compris les processus

opérationnels connexes) pertinent pour l’information financière, et communication


l’information financière (Réf. : par. 18)

A89. Le système d’information pertinent par rapport aux objectifs de l’information financière,

qui englobe le système comptable, est constitué des procédures et des documents

conçus et établis pour :

• déclencher, enregistrer, traiter et communiquer les opérations de l’entité (ainsi que

les événements et conditions) et pour rendre compte des actifs, des passifs et des

capitaux propres sur lesquels portent ces opérations;

• résoudre les traitements incorrects des opérations, par exemple les fichiers d’attente

automatisés et les procédures suivies pour traiter en temps voulu les éléments en

attente;

• traiter les contournements des systèmes et les dérogations aux contrôles et en

rendre compte;

• transférer les informations des systèmes de traitement des opérations au grand livre

général;

• saisir les données pertinentes pour l’information financière qui ont trait aux

événements et conditions autres que des opérations, par exemple l’amortissement

des actifs et les changements dans la recouvrabilité des créances;

• s’assurer que les informations à fournir selon le référentiel d’information financière

applicable sont cumulées, enregistrées, traitées, résumées et communiquées de

manière appropriée dans les états financiers.



36

Écritures de journal

A90. Le système d’information d’une entité comporte normalement l’utilisation d’écritures de

journal standard qui sont requises de façon récurrente pour enregistrer dans le grand

livre général des opérations telles que les ventes, les achats et les décaissements, ou

pour enregistrer les estimations comptables qui sont faites périodiquement par la

direction, par exemple les révisions de l’estimation des créances irrécouvrables.

A91. Le processus d’information financière d’une entité comprend également l’utilisation

d’écritures de journal non standard pour enregistrer des opérations ou des ajustements

non récurrents ou inhabituels. Ces écritures comprennent notamment les ajustements de

consolidation et les écritures relatives à un regroupement d’entreprises ou à une cession

d’entreprise, ou à des estimations non récurrentes, telles qu’une dépréciation d’actif.

Dans les systèmes comptables tenus manuellement, les écritures de journal non

standard peuvent être repérées par l’inspection des livres, des journaux et des

documents justificatifs. Lorsque des procédures automatisées sont utilisées pour la tenue

du grand livre général et l’établissement des états financiers, il se peut que ces écritures

n’existent que sous forme électronique et qu’elles soient plus facilement repérables par

l’application de techniques d’audit assistées par ordinateur.

Processus opérationnels connexes

A92. Les processus opérationnels d’une entité sont les activités conçues pour :

• développer, acheter, produire, vendre et distribuer ses produits et services;

• assurer le respect des textes légaux et réglementaires;

• enregistrer l’information, dont l’information comptable et l’information financière à

communiquer.

Les processus opérationnels aboutissent aux opérations qui sont enregistrées, traitées et

communiquées par le système d’information. L’acquisition d’une compréhension des

processus opérationnels, et donc de la manière dont les opérations sont générées, aide

l’auditeur à comprendre, dans le contexte propre à l’entité, le système d’information

pertinent pour l’information financière.


A93. Dans les petites entités, les systèmes d’information et les processus opérationnels

connexes pertinents pour l’information financière ont de bonnes chances d’être moins

sophistiqués que dans les grandes entités, mais leur rôle est tout aussi important. Les

petites entités dans lesquelles la direction joue un rôle actif n’ont peut-être pas besoin de

descriptions détaillées des procédures comptables, d’une comptabilité complexe ou de

politiques écrites. L’acquisition d’une compréhension des systèmes et des processus

peut en conséquence être plus facile dans les petites entités et se faire davantage par

des demandes d’informations que par l’examen de documents. Cette compréhension

reste néanmoins importante.



37

Communication (Réf. : par. 19)

A94. Il importe que la communication par l’entité des rôles et des responsabilités ainsi que des

questions importantes concernant l’information financière permette de comprendre les

rôles et responsabilités respectifs des différents intervenants dans le processus de

contrôle interne sur l’information financière. La communication englobe notamment des

aspects tels que le niveau de compréhension, par les membres du personnel, de la

manière dont leur rôle dans le système d’information financière est lié au travail d’autres

personnes, ainsi que les moyens dont ils disposent pour signaler les écarts à un niveau

hiérarchique supérieur dans l’entité. La communication peut prendre la forme de manuels

de procédures et de manuels d’information financière. Le maintien de voies de

communication ouvertes contribue à ce que les écarts soient signalés et fassent l’objet

de mesures correctives.


A95. La communication peut être moins structurée et plus simple dans une petite entité que

dans une grande en raison d’un nombre plus réduit de niveaux hiérarchiques, ainsi que

de la plus grande visibilité et disponibilité de la direction.

Composantes du contrôle interne — Activités de contrôle pertinentes pour l’audit (Réf. : par. 20)

A96. Les activités de contrôle correspondent aux politiques et procédures qui permettent de

s’assurer que les instructions de la direction sont mises en œuvre. Les activités de

contrôle, qu’elles concernent les systèmes informatiques ou les systèmes manuels, ont

divers objectifs et sont exécutées à différents niveaux hiérarchiques et fonctionnels.

Parmi les exemples d’activités de contrôle particulières, il y a notamment celles qui ont

trait :

• aux autorisations;

• aux évaluations des performances;

• au traitement de l’information;

• aux contrôles physiques;

• à la séparation des tâches.

A97. Les activités de contrôle pertinentes pour l’audit sont :

• celles qu’il faut considérer comme telles, à savoir, selon les paragraphes 29 et 30

respectivement, les activités de contrôle liées à des risques importants et celles qui

sont liées à des risques pour lesquels les procédures de corroboration seules ne

peuvent fournir des éléments probants suffisants et appropriés;

• celles qui sont considérées comme pertinentes selon le jugement de l’auditeur.

A98. Le jugement que porte l’auditeur sur le caractère pertinent ou non d’une activité de

contrôle pour l’audit est influencé par la possibilité qu’un risque qu’il a identifié puisse

entraîner une anomalie significative et par son appréciation de l’opportunité de tester ou



38

non l’efficacité du fonctionnement des contrôles pour déterminer l’étendue des

procédures de corroboration.

A99. L’auditeur peut mettre l’accent sur l’identification et l’acquisition d’une compréhension

des activités de contrôle qui portent sur les aspects où il considère que les risques

d’anomalies significatives sont susceptibles d’être plus élevés. Lorsque plusieurs

activités de contrôle permettent chacune d’atteindre le même objectif, il n’est pas

nécessaire d’acquérir une compréhension de chacune d’elles.

A100. L’auditeur s’appuie sur sa connaissance de l’existence ou de l’absence d’activités de

contrôle, obtenue lors de l’acquisition de sa compréhension des autres composantes du

contrôle interne, pour déterminer s’il lui faut consacrer plus d’attention à l’acquisition

d’une compréhension des activités de contrôle.


A101. Les activités de contrôle reposent habituellement sur les mêmes concepts quelle que soit

la taille de l’entité, mais le degré de formalité de leur mise en œuvre peut varier. En

outre, il se peut que de petites entités jugent que certains types d’activités de contrôle ne

sont pas pertinents en raison des contrôles effectués par la direction. Par exemple, la

centralisation par la direction du pouvoir d’autoriser l’octroi de crédit aux clients et

d’approuver les achats importants peut tenir lieu de contrôle étroit sur les principaux

soldes de comptes et les opérations importantes, réduisant ou éliminant ainsi la

nécessité d’activités de contrôle plus détaillées.

A102. Les activités de contrôle pertinentes pour l’audit d’une petite entité sont généralement

liées aux principaux cycles d’opérations tels que les produits, les achats et les charges

de personnel.

Risques liés à l’informatique (Réf. : par. 21)

A103. L’utilisation de systèmes informatiques a une incidence sur la manière dont les activités

de contrôle sont mises en place. Du point de vue de l’auditeur, les contrôles sur les

systèmes informatiques sont efficaces lorsqu’ils assurent l’intégrité de l’information et la

sécurité des données traitées par ces systèmes, et qu’ils comprennent des contrôles

généraux informatiques et des contrôles des applications qui sont efficaces.

A104. Les contrôles généraux informatiques sont des politiques et procédures qui couvrent de

nombreuses applications et qui favorisent le fonctionnement efficace des contrôles des

applications. Ils s’appliquent dans un environnement de macro-informatique, de mini-

informatique ou d’informatique individuelle. Les contrôles généraux informatiques qui

assurent l’intégrité de l’information et la sécurité des données comprennent

généralement des contrôles sur :

• le fonctionnement du centre de traitement et du réseau;

• l’acquisition, la modification et la maintenance du système d’exploitation;

• les modifications des programmes;



39

• la sécurité d’accès;

• l’acquisition, le développement et la maintenance des logiciels d’application.

Ils sont généralement mis en place pour répondre aux risques dont il est question au

paragraphe A63 ci-dessus.

A105. Les contrôles des applications sont des procédures manuelles ou automatisées qui

fonctionnent généralement au niveau des processus opérationnels et qui portent sur les

traitements d’opérations exécutés au moyen d’applications individuelles. Il peut s’agir de

contrôles de prévention ou de détection, et ils sont conçus pour assurer l’intégrité des

enregistrements comptables. Ils sont donc liés aux procédures utilisées pour déclencher,

enregistrer, traiter et communiquer les opérations ou d’autres données financières. Ils

contribuent à assurer que les opérations ont eu lieu, sont autorisées, et sont enregistrées

et traitées de manière exhaustive et exacte. À titre d’exemples : les contrôles de validité

des données d’entrée et les contrôles de séquence numérique avec suivi manuel des

relevés des écarts ou correction au moment de la saisie des données.

Composantes du contrôle interne — Suivi des contrôles (Réf. : par. 22)

A106. Le suivi des contrôles est un processus qui vise à évaluer l’efficacité du fonctionnement

du contrôle interne au fil du temps. Il implique d’évaluer l’efficacité des contrôles en

temps opportun et de prendre les mesures correctives nécessaires. La direction fait le

suivi des contrôles par des activités continues, des évaluations ponctuelles, ou une

combinaison des deux. Les activités de suivi continues sont souvent intégrées aux

activités récurrentes normales d’une entité et comprennent des activités courantes de

gestion et de supervision.

A107. Dans le cadre de ses activités de suivi, la direction utilise parfois des informations en

provenance de tiers, telles que les plaintes des clients et les commentaires des autorités

de réglementation qui peuvent révéler l’existence de problèmes ou faire ressortir des

points à améliorer.


A108. Le suivi des contrôles se fait souvent par une participation étroite de la direction ou du

propriétaire-dirigeant à l’exploitation. Cette participation permet souvent d’identifier les

écarts importants par rapport aux attentes et les inexactitudes dans les données

financières, et de prendre les mesures correctives qui s’imposent en matière de contrôle.

Rôles de la fonction d’audit interne de l’entité (Réf. : par. 23)

A109. Si l’entité a une fonction d’audit interne, le fait pour l’auditeur d’acquérir une

compréhension de cette fonction favorise sa compréhension de l’entité et de son

environnement, y compris de son contrôle interne, et plus particulièrement du rôle

joué par la fonction d’audit interne dans le suivi que fait l’entité du contrôle interne sur

l’information financière. Cette compréhension, ainsi que les informations obtenues

grâce aux demandes d’informations mentionnées à l’alinéa 6 a) de la présente norme

ISA, peuvent également fournir des informations qui sont directement pertinentes



40

pour l’identification et l’évaluation des risques d’anomalies significatives par

l’auditeur.

A110. Les objectifs et l’étendue de la fonction d’audit interne, la nature de ses

responsabilités et son statut au sein de l’organisation, y compris ses pouvoirs et ses

obligations de reddition de comptes, varient grandement et sont fonction de la taille

et de la structure de l’entité ainsi que des exigences de la direction et, le cas

échéant, des responsables de la gouvernance. Ces questions peuvent être indiquées

dans une charte ou un mandat d’audit interne.

A111. La fonction d’audit interne peut, par exemple, être chargée de mettre en œuvre des

procédures et d’en évaluer les résultats afin de fournir une assurance à la direction et

aux responsables de la gouvernance sur la conception et l’efficacité des processus

de gestion des risques, de contrôle interne et de gouvernance. Le cas échéant, la

fonction d’audit interne peut jouer un rôle important dans le suivi que fait l’entité du

contrôle interne sur l’information financière. Toutefois, les responsabilités de la

fonction d’audit interne peuvent se concentrer principalement sur l’évaluation de

l’économie, de l’efficience et de l’efficacité avec lesquelles sont réalisées les activités

et, le cas échéant, les travaux de la fonction peuvent n’avoir aucun rapport direct

avec l’information financière de l’entité.

A112. Les réponses aux demandes d’informations adressées aux personnes appropriées

au sein de la fonction d’audit interne conformément à l’alinéa 6 a) de la présente

norme ISA aident l’auditeur à acquérir une compréhension de la nature des

responsabilités de la fonction d’audit interne. Si l’auditeur détermine que les

responsabilités de la fonction ont un rapport avec l’information financière de l’entité, il

peut acquérir une meilleure compréhension des activités qui ont été ou qui seront

réalisées par la fonction d’audit interne en examinant, le cas échéant, le plan d’audit

élaboré par celle-ci pour la période et en s’entretenant de ce plan avec les personnes

appropriées au sein de la fonction.

A113. Si, par leur nature, les responsabilités et les activités d’assurance portant sur la

fonction d’audit interne ont un rapport avec l’information financière de l’entité, il se

peut également que l’auditeur puisse s’appuyer sur les travaux de la fonction d’audit

interne pour modifier la nature ou le calendrier de ses propres procédures d’audit à

mettre en œuvre pour obtenir des éléments probants, ou pour réduire l’étendue de

ces procédures. L’auditeur peut être plus susceptible de pouvoir utiliser les travaux

de la fonction d’audit interne de l’entité si, par exemple, l’expérience des audits

précédents ou les procédures d’évaluation des risques de l’auditeur semblent

indiquer que la fonction d’audit interne de l’entité dispose de ressources adéquates et

appropriées compte tenu de la taille de l’entité et de la nature de ses activités, et

qu’elle relève directement des responsables de la gouvernance.

A114. Si, compte tenu de la compréhension préliminaire qu’il a acquise de la fonction

d’audit interne, l’auditeur compte s’appuyer sur les travaux de la fonction d’audit

interne pour modifier la nature ou le calendrier des procédures d’audit à mettre en

œuvre ou pour en réduire l’étendue, la norme ISA 610 s’applique.



41

A115. Comme il est expliqué plus en détail dans la norme ISA 610, les activités d’une

fonction d’audit interne sont distinctes des autres contrôles de suivi susceptibles

d’être pertinents pour l’information financière, comme les examens de l’information

comptable de la direction conçus pour contribuer aux moyens que prend une entité

pour prévenir ou détecter les anomalies.

A116. La mise en place d’une communication soutenue avec les personnes appropriées au

sein de la fonction d’audit interne de l’entité à un stade initial de la mission et le

maintien de cette communication tout au long de la mission peuvent faciliter

l’échange efficace d’informations. Le climat ainsi créé fait que l’auditeur peut être

informé de toute question importante qui a retenu l’attention de la fonction d’audit

interne et qui est susceptible d’avoir une incidence sur les travaux de l’auditeur. La

norme ISA 200 traite de l’importance pour l’auditeur de faire preuve d’esprit critique

lors de la planification et de la réalisation de l’audit, ce qui implique d’être attentif aux

informations qui remettent en question la fiabilité des documents et des réponses aux

demandes d’informations devant servir d’éléments probants. Le maintien d’une

communication avec la fonction d’audit interne tout au long de la mission peut donner

aux auditeurs internes l’occasion d’attirer l’attention de l’auditeur sur de telles

informations. L’auditeur peut alors en tenir compte dans son identification et son

évaluation des risques d’anomalies significatives.

Sources d’informations (Réf. : par. 24)

A117. Une bonne partie de l’information utilisée à des fins de suivi peut être générée par le

système d’information de l’entité. Lorsque la direction suppose, sans fondement réel, que

les données utilisées pour le suivi sont exactes, des erreurs possibles dans l’information

pourraient amener la direction à tirer des conclusions incorrectes de ses activités de

suivi. C’est pourquoi, dans le cadre de sa compréhension des activités de suivi de l’entité

en tant que composante du contrôle interne, l’auditeur est tenu d’acquérir une

compréhension :

• des sources de l’information servant dans les activités de suivi de l’entité;

• des fondements sur lesquels la direction s’appuie pour estimer que cette information

est suffisamment fiable pour répondre à l’objectif poursuivi.

Identification et évaluation des risques d’anomalies significatives

Évaluation des risques d’anomalies significatives au niveau des états financiers (Réf. :

alinéa 25 a))

A118. Les risques d’anomalies significatives au niveau des états financiers correspondent aux

risques qui touchent de manière généralisée les états financiers pris dans leur ensemble

et qui pourraient affecter de multiples assertions. Les risques de cette nature ne sont pas

nécessairement des risques que l’on peut associer à des assertions précises au niveau

d’une catégorie d’opérations, d’un solde de compte ou d’une information à fournir dans

les états financiers. Ils représentent plutôt des circonstances susceptibles d’augmenter

les risques d’anomalies significatives au niveau des assertions, par exemple en raison du

contournement du contrôle interne par la direction. La prise en compte des risques au



42

niveau des états financiers peut être particulièrement pertinente lorsque l’auditeur

analyse le risque d’anomalies significatives résultant de fraudes.

A119. Les risques au niveau des états financiers peuvent notamment découler d’un

environnement de contrôle déficient (bien qu’ils puissent aussi être liés à d’autres

facteurs, comme un ralentissement de la conjoncture économique). Par exemple, des

déficiences telles qu’un manque de compétence de la direction sont susceptibles d’avoir

une incidence généralisée sur les états financiers et peuvent nécessiter une réponse

globale de la part de l’auditeur.

A120. La compréhension du contrôle interne acquise par l’auditeur peut soulever des doutes

sur la possibilité d’auditer les états financiers de l’entité. Par exemple :

• les préoccupations de l’auditeur au sujet de l’intégrité de la direction de l’entité

peuvent être graves au point de l’amener à conclure que le risque que les états

financiers contiennent des informations fausses ou trompeuses est tel qu’il lui est

impossible de réaliser l’audit;

• les préoccupations de l’auditeur au sujet de l’état et de la fiabilité de la comptabilité

de l’entité peuvent amener l’auditeur à conclure qu’il ne pourra vraisemblablement

pas réunir des éléments probants suffisants et appropriés pour fonder une opinion

non modifiée sur les états financiers.

A121. La norme ISA 70515

définit des exigences et fournit des indications sur la détermination

des cas où l’auditeur se trouve amené à exprimer une opinion avec réserve ou formuler

une impossibilité d’exprimer une opinion ou, comme il peut être nécessaire dans certains

cas, à démissionner lorsqu’il est possible de le faire selon les textes légaux ou

réglementaires applicables.

Évaluation des risques d’anomalies significatives au niveau des assertions (Réf. : alinéa 25 b))

A122. Il faut prendre en considération les risques d’anomalies significatives au niveau des

assertions, pour les catégories d’opérations, les soldes de comptes et les informations à

fournir dans les états financiers, car cette prise en considération aide à déterminer la

nature, le calendrier et l’étendue des procédures d’audit complémentaires qu’il est

nécessaire de mettre en œuvre au niveau des assertions pour obtenir des éléments

probants suffisants et appropriés. Lorsque l’auditeur procède à l’identification et à

l’évaluation des risques d’anomalies significatives au niveau des assertions, il peut

conclure que les risques identifiés touchent de manière plus généralisée les états

financiers dans leur ensemble et qu’ils sont susceptibles d’affecter de nombreuses

assertions.

L’utilisation des assertions

A123. En déclarant que les états financiers sont conformes au référentiel d’information

financière applicable, la direction formule implicitement ou explicitement des assertions

15

Norme ISA 705, Expression d’une opinion modifiée dans le rapport de l’auditeur indépendant.



43

concernant la comptabilisation, l’évaluation, la présentation et la communication des

différents éléments des états financiers, ainsi que les informations connexes.

A124. Les assertions auxquelles l’auditeur se réfère pour prendre en considération les

différents types d’anomalies potentielles entrent dans les trois catégories qui suivent et

peuvent revêtir les formes suivantes :

a) les assertions concernant les catégories d’opérations et les événements de la

période auditée :

i) réalité : les opérations et les événements qui ont été enregistrés se sont produits

et se rapportent à l’entité,

ii) exhaustivité : toutes les opérations et tous les événements qui auraient dû être

enregistrés l’ont bien été,

iii) exactitude : les montants et autres données qui se rapportent à ces opérations et

événements ont été enregistrés de façon appropriée,

iv) séparation des périodes : les opérations et les événements ont été enregistrés

dans la bonne période,

v) classement : les opérations et les événements ont été enregistrés dans les bons

comptes;

b) les assertions concernant les soldes de comptes en fin de période :

i) existence : les actifs, les passifs et les éléments de capitaux propres existent,

ii) droits et obligations : l’entité détient ou contrôle les droits sur les actifs, et les

passifs correspondent aux obligations de l’entité,

iii) exhaustivité : tous les actifs, tous les passifs et tous les éléments de capitaux

propres qui auraient dû être enregistrés l’ont bien été,

iv) évaluation et imputation : les actifs, les passifs et les éléments de capitaux

propres sont inscrits dans les états financiers pour les bons montants et tous les

ajustements résultant de leur évaluation ou imputation sont correctement

enregistrés;

c) les assertions concernant la présentation et les informations fournies :

i) réalité, et droits et obligations : les événements, opérations et autres éléments

communiqués se sont produits et se rapportent à l’entité,

ii) exhaustivité : toutes les informations qui auraient dû être fournies dans les états

financiers l’ont bien été,

iii) classement et intelligibilité : les informations financières sont présentées et

décrites de façon appropriée et les informations fournies sont communiquées

clairement,



44

iv) exactitude et évaluation : les informations financières et autres sont données

fidèlement et pour les bons montants.

A125. L’auditeur peut se référer à la description des assertions données ci-dessus, ou encore

les exprimer différemment pourvu que tous les aspects susmentionnés soient couverts. Il

peut ainsi choisir de combiner les assertions concernant les opérations et les

événements avec celles concernant les soldes de comptes.


A126. Dans le cadre de ses assertions sur les états financiers, en sus des assertions indiquées

au paragraphe A124, la direction d’une entité du secteur public peut souvent déclarer

que les opérations et événements ont été réalisés conformément aux textes légaux ou

réglementaires ou à d’autres textes émanant d’une autorité. De telles assertions peuvent

entrer dans le champ de l’audit des états financiers.

Processus d’identification des risques d’anomalies significatives (Réf. : alinéa 26 a))

A127. Les informations réunies lors de la mise en œuvre des procédures d’évaluation des

risques, y compris les éléments probants obtenus lors de l’évaluation de la conception

des contrôles et de la vérification de leur mise en place, sont utilisées comme éléments

probants à l’appui de l’évaluation des risques. L’évaluation des risques détermine la

nature, le calendrier et l’étendue des procédures d’audit complémentaires à mettre en

œuvre.

A128. L’Annexe 2 fournit des exemples de circonstances et d’événements pouvant indiquer la

présence de risques d’anomalies significatives.

Liens entre les contrôles et les assertions (Réf. : alinéa 26 c))

A129. En procédant à l’évaluation des risques, l’auditeur peut identifier les contrôles qui sont

susceptibles de prévenir, ou de détecter et corriger, des anomalies significatives au

niveau d’assertions particulières. Il est généralement utile d’acquérir une compréhension

des contrôles et d’établir des liens entre ceux-ci et les assertions dans le contexte des

processus et des systèmes dans lequel ils s’inscrivent, car il arrive souvent qu’une

activité de contrôle donnée ne permette pas à elle seule de répondre à un risque.

Souvent, plusieurs activités de contrôle, associées à d’autres composantes du contrôle

interne, sont nécessaires pour répondre à un risque.

A130. En revanche, certaines activités de contrôle peuvent avoir une incidence précise sur une

assertion particulière qu’implique une catégorie d’opérations ou un solde de compte

spécifique. Par exemple, les activités de contrôle qu’une entité a mises en place afin de

s’assurer que son personnel compte et enregistre correctement les stocks lors de

l’inventaire physique annuel sont directement liées aux assertions relatives à l’existence

et à l’exhaustivité du solde du compte de stocks.

A131. Les contrôles peuvent être directement ou indirectement liés à une assertion. Plus le lien

est indirect, plus le contrôle risque d’être inefficace pour prévenir, ou détecter et corriger,

les anomalies relatives à cette assertion. Par exemple, l’examen par le directeur des

ventes du sommaire des ventes pour des magasins précis par région n’est en général lié



45

qu’indirectement à l’assertion relative à l’exhaustivité des produits. En conséquence, il se

peut que cet examen soit moins efficace pour réduire le risque associé à cette assertion

que des contrôles liés plus directement à l’assertion, par exemple le rapprochement des

documents d’expédition avec les documents de facturation.

Risques importants

Identification des risques importants (Réf. : par. 28)

A132. Les risques importants sont souvent associés à des opérations importantes non

courantes et à des questions importantes nécessitant l’exercice du jugement. Les

opérations non courantes sont des opérations qui, en raison de leur taille ou de leur

nature, sont inhabituelles et donc peu fréquentes. Les questions nécessitant l’exercice du

jugement peuvent comprendre la détermination d’estimations comptables comportant

une grande part d’incertitude de mesure. Les opérations simples et courantes qui font

l’objet de traitements systématiques sont moins susceptibles de donner lieu à des

risques importants.

A133. Les risques d’anomalies significatives peuvent être plus élevés dans le cas des

opérations importantes non courantes du fait, par exemple :

• d’une plus grande intervention de la direction dans la détermination du traitement

comptable à appliquer;

• d’une plus grande intervention manuelle dans la collecte et le traitement des

données;

• de calculs ou de principes comptables complexes;

• de la nature des opérations non courantes, qui peut rendre difficile pour l’entité la

mise en place de contrôles efficaces sur les risques associés à ces opérations.

A134. Les risques d’anomalies significatives peuvent être plus élevés dans le cas des questions

importantes nécessitant l’exercice du jugement et exigeant des estimations comptables,

notamment pour les raisons suivantes :

• les principes comptables applicables aux estimations comptables ou à la

comptabilisation des produits peuvent faire l’objet d’interprétations différentes;

• le jugement exercé peut être subjectif, complexe ou reposer sur des hypothèses

quant à l’incidence d’événements futurs, par exemple dans le cas des jugements en

matière de juste valeur.

A135. La norme ISA 330 décrit les conséquences de l’identification d’un risque important en ce

qui concerne les procédures d’audit complémentaires16

.

16

Norme ISA 330, paragraphes 15 et 21.



46

Risques importants et risques d’anomalies significatives résultant de fraudes

A136. La norme ISA 240 contient d’autres exigences et indications concernant l’identification et

l’évaluation des risques d’anomalies significatives résultant de fraudes17

.

Compréhension des contrôles liés aux risques importants (Réf. : par. 29)

A137. Bien que les risques associés à des opérations importantes non courantes ou à des

questions importantes nécessitant l’exercice du jugement soient souvent moins

susceptibles de faire l’objet de contrôles de routine, il est possible que la direction ait pris

d’autres mesures pour faire face à ces risques. En conséquence, pour déterminer si

l’entité a conçu et mis en place des contrôles à l’égard des risques importants associés à

de telles opérations ou questions de jugement importantes, l’auditeur se demande

notamment si, et comment, la direction répond aux risques. Voici certaines des réponses

possibles :

• activités de contrôle telles qu’un examen des hypothèses par la haute direction ou

des experts;

• recours à des processus documentés pour établir des estimations;

• procédure d’approbation par les responsables de la gouvernance.

A138. Par exemple, dans le cas d’un événement isolé, tel que la réception d’une assignation

devant le tribunal pour un procès important, l’appréciation de la réponse de l’entité peut

notamment consister à déterminer si l’affaire a été soumise à des experts compétents

(comme les conseillers juridiques internes ou des avocats externes), si son incidence

potentielle a été évaluée et de quelle manière la direction entend présenter la situation

dans les états financiers.

A139. Il se peut que, dans certains cas, la direction n’ait pas répondu adéquatement à des

risques importants d’anomalies significatives par la mise en place de contrôles relatifs à

ces risques. Le défaut de mise en place de ces contrôles par la direction est l’indice

d’une déficience importante du contrôle interne18

.

Risques pour lesquels les procédures de corroboration seules ne peuvent fournir des éléments

probants suffisants et appropriés (Réf. : par. 30)

A140. Il arrive que des risques d’anomalies significatives soient directement associés à

l’enregistrement de catégories d’opérations courantes ou de soldes de comptes et à

l’établissement d’états financiers fiables. Ces risques peuvent comprendre les risques de

traitement inexact ou incomplet de catégories d’opérations courantes et importantes

telles que celles concernant les produits, les achats, les encaissements et les

décaissements.

17

Norme ISA 240, paragraphes 25 à 27.

18 Norme ISA 265, Communication des déficiences du contrôle interne aux responsables de la gouvernance et à la

direction, paragraphe A7.



47

A141. Lorsque de telles opérations courantes font l’objet d’un traitement hautement automatisé

nécessitant peu ou pas d’intervention manuelle, il peut s’avérer impossible de mettre en

œuvre uniquement des procédures de corroboration à l’égard du risque. Par exemple,

l’auditeur peut juger qu’il en est ainsi lorsqu’une partie importante des informations de

l’entité sont générées, enregistrées, traitées ou communiquées sous forme électronique

seulement, comme dans un système intégré. Dans un tel cas :

• il se peut que les éléments probants ne soient disponibles que sous forme

électronique, et leur caractère suffisant et approprié dépend habituellement de

l’efficacité des contrôles sur leur exactitude et leur exhaustivité;

• le risque qu’une information soit générée ou modifiée de manière inappropriée sans

que cela ne soit détecté peut être plus élevé lorsque les contrôles pertinents ne

fonctionnent pas efficacement.

A142. Les conséquences de l’identification d’un tel risque sur les procédures d’audit

complémentaires sont décrites dans la norme ISA 33019

.

Révision de l’évaluation des risques (Réf. : par. 31)

A143. Pendant l’audit, il se peut que l’auditeur prenne connaissance de certaines informations

qui diffèrent sensiblement des informations ayant servi à son évaluation des risques. Par

exemple, l’évaluation initiale des risques peut avoir été fondée sur l’hypothèse que

certains contrôles fonctionnaient efficacement. En effectuant des tests de ces contrôles,

l’auditeur peut obtenir des éléments probants indiquant que les contrôles ne

fonctionnaient pas efficacement à des moments pertinents au cours de l’audit. De même,

lors de la mise en œuvre de procédures de corroboration, l’auditeur peut détecter des

anomalies dont les montants ou la fréquence ne sont pas compatibles avec son

évaluation des risques. Il se peut alors que l’évaluation initiale des risques ne reflète pas

adéquatement la situation réelle de l’entité et que les procédures d’audit

complémentaires prévues ne soient pas efficaces pour détecter les anomalies

significatives. Voir la norme ISA 330 pour de plus amples indications.

Documentation (Réf. : par. 32)

A144. La façon dont l’auditeur consigne dans son dossier les informations exigées au

paragraphe 32 relève de son jugement professionnel. Par exemple, dans le cas des

audits de petites entités, la documentation peut être intégrée dans la documentation de

l’auditeur sur la stratégie générale d’audit et le plan d’audit20

. De même, par exemple, les

résultats de l’évaluation des risques peuvent être consignés séparément ou être intégrés

à la documentation de l’auditeur sur les procédures d’audit complémentaires21

. La forme

et l’étendue de la documentation dépendent de la nature, de la taille et de la complexité

19

Norme ISA 330, paragraphe 8.

20 Norme ISA 300, Planification d’un audit d’états financiers, paragraphes 7 et 9.




48

de l’entité et de son contrôle interne, de l’information disponible auprès de l’entité ainsi

que des méthodes et des techniques employées au cours de l’audit.

A145. Dans le cas des entités dont les activités et les processus pertinents pour l’information

financière ne sont pas compliqués, la documentation peut être simple et relativement

succincte. Il n’est pas nécessaire de consigner en dossier tous les aspects de la

compréhension de l’entité acquise par l’auditeur et des questions qui s’y rattachent. Les

éléments clés de cette compréhension consignés par l’auditeur dans ses dossiers sont

ceux sur lesquels il a fondé son évaluation des risques d’anomalies significatives.

A146. L’étendue de la documentation peut également refléter l’expérience et les compétences

des membres de l’équipe de mission. Sous réserve que les exigences de la norme ISA

230 soient respectées dans tous les cas, un audit entrepris par une équipe composée de

personnes moins expérimentées peut nécessiter une documentation plus détaillée que

dans le cas d’une équipe comprenant des personnes expérimentées, afin de faciliter

l’acquisition d’une compréhension appropriée de l’entité.

A147. Dans le cas de missions récurrentes, certains éléments de la documentation d’audits

antérieurs peuvent être réutilisés, après mise à jour au besoin pour refléter les

changements survenus dans les activités ou les processus de l’entité.



49

Annexe 1

(Réf. : alinéa 4 c), paragraphes 14 à 24 et A76 à A117)

Composantes du contrôle interne

1. La présente annexe donne de plus amples précisions sur les composantes du contrôle

interne, décrites à l’alinéa 4 c) et aux paragraphes 14 à 24 et A76 à A117, dans le

contexte d’un audit d’états financiers.

Environnement de contrôle

2. L’environnement de contrôle comprend les éléments suivants :

a) transmission et respect de valeurs d’éthique et d’intégrité — l’efficacité des contrôles

est tributaire des valeurs d’intégrité et d’éthique des personnes qui les créent, les

gèrent et en assurent le suivi. L’intégrité et le comportement éthique sont fonction

des normes d’éthique et de comportement de l’entité, ainsi que de la manière dont

ces normes sont communiquées et dont on les fait respecter en pratique. Le respect

de ces normes dépend notamment des actions menées par la direction pour éliminer

ou limiter les motivations ou les tentations pouvant amener le personnel à commettre

des actes malhonnêtes, illégaux ou contraires à l’éthique. La transmission des

valeurs de l’entité en matière d’intégrité et d’éthique peut comprendre la

communication de normes de comportement au personnel par l’intermédiaire

d’énoncés de politique et de codes de bonne conduite et par l’exemple;

b) importance attachée à la compétence — la compétence s’entend des connaissances

et des aptitudes nécessaires pour accomplir les tâches propres au poste qu’occupe

une personne;

c) participation des responsables de la gouvernance — les responsables de la

gouvernance influent considérablement sur l’attention que porte l’entité au contrôle.

L’importance des responsabilités qui incombent aux responsables de la gouvernance

est reconnue dans des codes de pratique, dans des textes légaux et réglementaires

ou dans des recommandations élaborées à leur intention. Ces responsabilités

s’étendent à la surveillance de la conception et de l’efficacité du fonctionnement des

procédures d’alerte éthique, ainsi que du processus d’examen de l’efficacité du

contrôle interne de l’entité;

d) philosophie et style de gestion de la direction — la philosophie et le style de gestion

de la direction recouvrent un grand nombre d’aspects. Par exemple, l’attitude et les

décisions de la direction à l’égard de l’information financière peuvent se manifester

par un choix prudent ou audacieux entre plusieurs options comptables possibles ou

par le niveau d’attention et de prudence avec lequel les estimations comptables sont

établies;

e) structure organisationnelle — l’établissement d’une structure organisationnelle

pertinente passe par la prise en considération des postes clés en matière de

pouvoirs et de responsabilités et des voies hiérarchiques appropriées. Le caractère



50

adapté de la structure organisationnelle dépend en partie de la taille de l’entité et de

la nature de ses activités;

f) délégation de pouvoirs et de responsabilités — la délégation de pouvoirs et de

responsabilités peut impliquer la mise en œuvre de politiques concernant les

pratiques commerciales appropriées, les connaissances et l’expérience exigées du

personnel clé et les ressources fournies pour l’exercice des fonctions attribuées. Elle

peut aussi impliquer des politiques et des communications visant à assurer que tous

les membres du personnel comprennent les objectifs de l’entité, sont conscients de

la manière dont leurs actions individuelles s’intègrent les unes aux autres et

contribuent à la réalisation de ces objectifs, et savent de quoi et devant qui ils sont

responsables;

g) politiques et pratiques en matière de ressources humaines — les politiques et

pratiques en matière de ressources humaines font souvent ressortir des points

importants en ce qui concerne l’attention portée au contrôle par l’entité. Ainsi,

l’application de normes pour le recrutement des personnes les plus compétentes —

qui mettent l’accent sur la formation, l’expérience professionnelle, les réalisations

antérieures et la preuve d’un comportement intègre et éthique — témoigne du souci

de l’entité de s’attacher un personnel compétent et fiable. Les politiques de formation

qui exposent les rôles et les responsabilités susceptibles d’être assumés et prévoient

la tenue d’activités de formation structurées illustrent les niveaux de performance et

de comportement attendus. Les promotions reposant sur des évaluations

périodiques de la performance montrent que l’entité est déterminée à favoriser

l’avancement du personnel compétent en lui confiant des niveaux de responsabilité

supérieurs.

Processus d’évaluation des risques par l’entité

3. Aux fins de l’information financière, le processus d’évaluation des risques par l’entité

englobe, d’une part, la manière dont la direction identifie les risques d’entreprise

pertinents par rapport à la préparation des états financiers conformément au référentiel

d’information financière applicable, estime l’importance de ces risques, évalue leur

probabilité de réalisation, et décide des mesures à prendre pour y répondre et les gérer

et, d’autre part, les résultats qui en découlent. Par exemple, le processus d’évaluation

des risques par l’entité peut renseigner sur la façon dont l’entité fait face à l’éventualité

que des opérations ne soient pas enregistrées, ou sur la façon dont elle identifie et

analyse les estimations importantes figurant dans les états financiers.

4. Les risques pertinents susceptibles d’affecter la fiabilité de l’information financière

comprennent des événements externes et internes, des opérations ou des circonstances

qui peuvent se produire et compromettre la capacité de l’entité de générer, enregistrer,

traiter et communiquer des données financières concordant avec les assertions de la

direction que comportent les états financiers. La direction peut entreprendre des plans,

des programmes ou des actions afin de répondre à des risques spécifiques ou elle peut

décider d’assumer un risque pour des raisons de coûts ou pour d’autres considérations.

Les risques peuvent naître ou évoluer en raison de circonstances telles que les

suivantes :



51

• changements dans l’environnement opérationnel — des changements dans le cadre

réglementaire ou dans l’environnement opérationnel peuvent se traduire par de

nouvelles pressions concurrentielles et donner lieu à des risques considérablement

différents;

• changement de personnel — le nouveau personnel peut avoir une vision ou une

compréhension différente du contrôle interne;

• systèmes d’information nouveaux ou mis à niveau — l’apport de modifications

importantes et fréquentes aux systèmes d’information peut modifier les risques liés

au contrôle interne;

• croissance rapide — une expansion importante et rapide des activités peut mettre les

contrôles à rude épreuve et accroître leur risque de défaillance;

• nouvelles technologies –– l’intégration de nouvelles technologies dans les processus

de production ou les systèmes d’information peut modifier les risques liés au contrôle

interne;

• nouveaux modèles opérationnels, nouveaux produits ou nouvelles activités — la

pénétration de secteurs ou la conclusion d’opérations dont l’entité a une expérience

limitée peut faire naître de nouveaux risques liés au contrôle interne;

• restructuration de l’entreprise — les restructurations peuvent s’accompagner de

compressions de personnel et de changements dans la supervision et la séparation

des tâches qui sont susceptibles de modifier les risques liés au contrôle interne;

• expansion à l’étranger — l’expansion ou l’acquisition d’activités à l’étranger fait naître

des risques nouveaux et souvent exceptionnels qui peuvent affecter le contrôle

interne, par exemple des risques additionnels ou différents associés aux opérations

en devises;

• nouvelles règles comptables — l’adoption de nouveaux principes comptables ou

l’évolution des principes comptables existants peut modifier les risques associés à

l’établissement des états financiers.


l’information financière, et communication

5. Un système d’information est constitué d’une infrastructure (composantes matérielles),

de logiciels, de personnes, de procédures et de données. De nombreux systèmes

d’information font largement appel aux technologies de l’information.

6. Le système d’information pertinent par rapport aux objectifs de l’information financière,

qui comprend le système d’information financière, englobe des méthodes et des supports

d’enregistrement qui permettent :

• d’identifier et d’enregistrer toutes les opérations valides;



52

• de décrire en temps opportun les opérations avec suffisamment de détails pour

qu’elles puissent être classées adéquatement pour les besoins de l’information

financière;

• de mesurer la valeur des opérations de manière à pouvoir traduire leur véritable

valeur monétaire dans les états financiers;

• de déterminer le moment où les opérations ont eu lieu de façon à pouvoir les

comptabiliser dans la bonne période comptable;

• de présenter correctement les opérations et les informations y afférentes dans les

états financiers.

7. La qualité de l’information générée par le système se répercute sur la capacité de la

direction de prendre des décisions appropriées concernant la gestion et le contrôle des

activités de l’entité et de préparer des rapports financiers fiables.

8. La communication, qui implique notamment de faire comprendre les rôles et les

responsabilités de chacun en ce qui concerne le contrôle interne sur l’information

financière peut prendre la forme de manuels de procédures, de manuels de comptabilité

et d’information financière, et de mémorandums de la direction. La communication peut

aussi se faire électroniquement ou verbalement, et passer par l’exemplarité des actions

de la direction.

Activités de contrôle

9. En général, les activités de contrôle qui peuvent être pertinentes pour l’audit se

présentent sous la forme de politiques et de procédures portant sur les éléments

suivants :

• évaluations des performances — ces activités de contrôle comprennent les

évaluations et les analyses des performances réelles par rapport aux budgets, aux

prévisions et aux performances des périodes antérieures. Elles consistent également

à établir des relations entre différents ensembles de données (opérationnelles ou

financières), à analyser ces relations et à mettre en œuvre des mesures

d’investigation et des mesures correctives, à comparer des données d’origine interne

avec des informations d’origine externe et à évaluer les performances par fonction et

par activité;

• traitement de l’information — les deux grands groupes d’activités de contrôle sur les

systèmes d’information sont les contrôles des applications, qui portent sur les

traitements effectués au moyen d’applications individuelles, et les contrôles généraux

informatiques, qui sont des politiques et procédures qui concernent de nombreuses

applications et favorisent l’efficacité des contrôles des applications en contribuant à

assurer le bon fonctionnement continu des systèmes d’information. Voici des

exemples de contrôles des applications : vérification de l’exactitude arithmétique des

enregistrements, mise à jour et revue des comptes et des balances, contrôles

automatisés tels que les contrôles de validité des données d’entrée et les contrôles

de séquence numérique, et suivi manuel des relevés des écarts. Voici des exemples



53

de contrôles généraux informatiques : contrôles sur les modifications des

programmes, contrôles d’accès aux programmes et aux données, contrôles sur

l’installation de nouvelles versions de logiciels d’application prêts à l’emploi, contrôles

sur les logiciels de base qui limitent l’accès aux utilitaires pouvant servir à modifier

les données ou documents financiers sans laisser de piste d’audit ou qui surveillent

leur utilisation;

• contrôles physiques — ces contrôles englobent :

o la sécurité physique des actifs, notamment le recours à des mesures de

sauvegarde adéquates telles que des installations à accès contrôlé pour protéger

les actifs et les documents comptables;

o le contrôle de l’accès aux programmes informatiques et aux fichiers de données;

o des comptages périodiques et un rapprochement de ces derniers avec les

montants figurant dans les états de contrôle (par exemple, comparaison des

résultats du comptage de la caisse, des titres de placement et des stocks avec

les livres comptables).

La mesure dans laquelle les contrôles physiques visant à prévenir les vols d’actifs

sont pertinents pour l’établissement d’états financiers fiables, et donc pour l’audit,

dépend des circonstances, notamment de l’importance du risque de détournement

associé aux actifs;

• séparation des tâches — l’attribution à des personnes différentes des responsabilités

relatives à l’autorisation des opérations, à l’enregistrement des opérations et à la

garde des actifs vise à réduire les possibilités qu’une même personne puisse

commettre et dissimuler des erreurs ou des fraudes dans le cadre normal de ses

fonctions.

10. Certaines activités de contrôle peuvent dépendre de l’existence d’une politique

appropriée de prise de décision à l’échelon supérieur, établie par la direction ou les

responsables de la gouvernance. Ainsi, certaines autorisations peuvent être déléguées

dans le cadre de lignes directrices définies, par exemple des critères d’investissement

établis par les responsables de la gouvernance; par contre, les opérations inhabituelles

telles que les acquisitions et les désinvestissements importants peuvent nécessiter

l’approbation spécifique d’un niveau hiérarchique supérieur, et même, dans certains cas,

l’approbation des actionnaires.

Suivi des contrôles

11. Une des responsabilités importantes de la direction est de mettre en place et de

maintenir un contrôle interne permanent. Le suivi des contrôles par la direction consiste

notamment à déterminer s’ils fonctionnent comme prévu et s’ils sont modifiés selon les

besoins pour répondre à de nouvelles conditions. Le suivi des contrôles peut comporter

des activités telles que l’examen par la direction des rapprochements bancaires pour

s’assurer qu’ils sont établis en temps opportun, l’évaluation par les auditeurs internes du

respect par le personnel commercial de la politique de l’entité concernant les termes et



54

conditions des contrats de vente, et le suivi par le service juridique du respect de la

politique de l’entité en matière d’éthique ou de pratiques commerciales. Le suivi des

contrôles a aussi pour but d’assurer que les contrôles continuent de fonctionner

efficacement au fil du temps. Par exemple, si la périodicité et l’exactitude des

rapprochements bancaires ne font pas l’objet de suivi, il est probable que le personnel

cessera de les préparer.

12. Les auditeurs internes ou le personnel exerçant des fonctions similaires peuvent

participer au suivi des contrôles de l’entité en procédant à leurs propres évaluations. En

général, ils fournissent régulièrement des informations sur le fonctionnement du contrôle

interne, et portent une attention considérable à l’évaluation de l’efficacité du contrôle

interne. Ils communiquent des informations sur les points forts et les déficiences du

contrôle interne et formulent des recommandations en vue de l’amélioration du contrôle

interne.

13. Les activités de suivi peuvent comprendre l’utilisation d’informations communiquées par

des tiers, qui peuvent révéler l’existence de problèmes ou faire ressortir des aspects à

améliorer. Les clients corroborent implicitement les données de facturation en réglant

leurs factures ou en les contestant. Par ailleurs, les autorités de réglementation peuvent

communiquer avec l’entité au sujet de questions qui influent sur le fonctionnement du

contrôle interne, par exemple les communications concernant les examens effectués par

les organismes de réglementation du secteur bancaire. La direction peut aussi, dans le

cadre de ses activités de suivi, tenir compte des communications des auditeurs externes

au sujet du contrôle interne.



55

Annexe 2

(Réf. : par. A40 et A128)

Circonstances et événements qui peuvent indiquer l’existence de risques d’anomalies

significatives

La présente annexe donne des exemples de circonstances et d’événements qui pourraient

indiquer l’existence de risques d’anomalies significatives. Les exemples suivants couvrent un

large éventail de circonstances et d’événements, mais ne sont pas tous pertinents pour toutes les

missions d’audit, et la liste des exemples n’est pas nécessairement exhaustive :

• activités dans des régions économiquement instables (par exemple, pays dont la monnaie a

subi une dévaluation importante ou dont l’économie est fortement inflationniste);

• activités exposées à des marchés volatils (par exemple, marchés à terme);

• activités faisant l’objet d’une réglementation poussée et très complexe;

• problèmes de continuité de l’exploitation et de liquidité, y compris la perte de clients

importants;

• contraction du capital et du crédit;

• changements dans le secteur d’activité de l’entité;

• changements dans la chaîne d’approvisionnement;

• développement ou offre de nouveaux produits ou services, ou orientation vers de nouvelles

branches d’activité;

• expansion vers de nouveaux lieux d’implantation;

• changements au sein de l’entité tels que d’importantes acquisitions ou restructurations ou

d’autres événements inhabituels;

• vente probable d’entités ou de branches d’activité;

• existence d’alliances et de coentreprises complexes;

• recours à des opérations de financement hors bilan, à des entités ad hoc ou à d’autres

mécanismes complexes de financement;

• opérations importantes avec des parties liées;

• manque de personnel possédant les compétences appropriées en comptabilité et en

information financière;

• changements dans le personnel clé, y compris le départ de dirigeants importants;

• déficiences du contrôle interne, notamment celles que la direction n’a pas cherché à

résoudre;



56

• manque de cohérence entre la stratégie informatique de l’entité et ses stratégies

opérationnelles;

• changements dans l’environnement informatique;

• installation de nouveaux systèmes informatiques importants liés à l’information financière;

• enquêtes sur les activités ou les résultats financiers de l’entité par les autorités de

réglementation ou des organismes publics;

• anomalies et erreurs dans le passé ou volume important d’ajustements en fin de période;

• volume important d’opérations non courantes ou non systématiques, notamment des

opérations intra-groupe et des opérations générant d’importants montants de produits en fin

de période;

• opérations enregistrées en fonction des intentions de la direction (par exemple,

refinancement de la dette, actifs destinés à la vente et classement des titres négociables);

• application de nouvelles règles comptables;

• évaluations comptables faisant appel à des processus complexes;

• événements ou opérations pour lesquels il existe une incertitude de mesure, y compris les

estimations comptables;

• procès en cours et passifs éventuels (par exemple, garanties après-vente, cautionnements

financiers et coûts de dépollution).

RENSEIGNEMENTS SUR LES DROITS D’AUTEUR, LES MARQUES DÉPOSÉES ET LES PERMISSIONS

57

Les Normes internationales d’audit, les Normes internationales de missions d’assurance, les Normes

internationales de missions d’examen, les Normes internationales de services connexes, les Normes

internationales de contrôle qualité, les Directives internationales sur les pratiques d’audit, les exposés-

sondages, les documents de consultation et les autres publications de l’IAASB sont publiés par l’IFAC,

qui en détient les droits d’auteur.

L’IAASB et l’IFAC déclinent toute responsabilité en cas de préjudice découlant d’un acte ou du non-

accomplissement d’un acte en raison du contenu de la présente publication, que ledit préjudice soit

attribuable à une faute ou à une autre cause.

Le logo IAASB, «International Auditing and Assurance Standards Board», «IAASB», «International

Standard on Auditing», «ISA», «International Standard on Assurance Engagements», «ISAE»,

«International Standards on Review Engagements», «ISRE», «International Standards on Related

Services», «ISRS», «International Standards on Quality Control», «ISQC», «International Auditing

Practice Note», «IAPN», le logo IFAC, «International Federation of Accountants», et «IFAC» sont des

marques de commerce et des marques de service de l’IFAC.

Copyright © 2012 International Federation of Accountants (IFAC). Tous droits réservés. Il est permis de

faire des copies du présent document à condition que ces copies servent à l’enseignement ou à des fins

personnelles, qu’elles ne soient pas vendues ni diffusées, et que chaque copie porte la mention suivante :

«Copyright © 2012 International Federation of Accountants (IFAC). Tous droits réservés. Document utilisé

avec la permission de l’IFAC. Veuillez écrire à [email protected] pour obtenir l’autorisation de

reproduire, de stocker ou de transmettre ce document.» Autrement, sauf autorisation de la loi, il est

nécessaire d’obtenir l’autorisation écrite de l’IFAC pour la reproduction, le stockage, la transmission ou

autre utilisation semblable de ces documents. Pour ce faire, veuillez écrire à [email protected].

La présente Norme internationale d’audit (ISA) 315 (révisée), «Compréhension de l’entité et de son

environnement aux fins de l’identification et de l’évaluation des risques d’anomalies significatives»,

publiée en anglais par l’International Federation of Accountants (IFAC) en 2012, a été traduite en français

par l’Institut Canadien des Comptables Agréés (ICCA) / The Canadian Institute of Chartered Accountants

(CICA) en 2012, et est reproduite avec la permission de l’IFAC. Le processus suivi pour la traduction des

Normes internationales d’audit (ISA) et de la Norme internationale de contrôle qualité (ISQC) 1 a été

examiné par l’IFAC et la traduction a été effectuée conformément au Policy Statement de l’IFAC – Policy

for Translating and Reproducing Standards. La version approuvée de toutes les Normes internationales

d’audit (ISA) et de la Norme internationale de contrôle qualité (ISQC) 1 est celle qui est publiée en langue

anglaise par l’IFAC. © 2012 IFAC

Texte anglais de International Standard on Auditing (ISA) 315 (révised), “Identifying and Assessing Risks

of Material Misstatement through Understanding the Entity and Its Environment” © 2012 par l’International

Federation of Accountants (IFAC). Tous droits réservés.

Texte français de Norme internationale d’audit (ISA) 315 (révisée), «Compréhension de l’entité et de son

environnement aux fins de l’identification et de l’évaluation des risques d’anomalies significatives»

© 2012 par l’International Federation of Accountants (IFAC). Tous droits réservés.

Titre original : International Standard on Auditing (ISA) 315 (révised), “Identifying and Assessing Risks of

Material Misstatement through Understanding the Entity and Its Environment”.

Numéro ISBN : 978-1-60815-118-9.

Publié par :

mailto:[email protected]

mailto:[email protected]

Compréhension de l'entité et de son environnement aux fins de l ...

Documents

Transcript of Compréhension de l'entité et de son environnement aux fins de l ...